主机参考
| 主机参考:VPS测评参考推荐/专注分享VPS服务器优惠信息!若您是商家可以在本站进行投稿,查看详情!此外我们还提供软文收录、PayPal代付、广告赞助等服务,查看详情! |
| 我们发布的部分优惠活动文章可能存在时效性,购买时建议在本站搜索商家名称可查看相关文章充分了解该商家!若非中文页面可使用Edge浏览器同步翻译!PayPal代付/收录合作 |
Devops、Devops、左移、安全状况、云本机&hellip…当谈到现代应用程序的开发生命周期时,您总是会听到这些话。当它们被用作解释复杂过程的框架时,它们起到了积极的作用,但误用或滥用是有害的。无论是有意还是无意的误用,用户往往无法准确理解这些流行词汇背后的真正含义。
Devops和Devops是典型的滥用和误用案例,造成了许多负面影响。自2009年首次提出以来,Devops涵盖的内容经历了多次迭代,负面含义往往来自于沟通背景中各种不切实际的乌托邦元素和难以真正实现的理想假设。尽管许多组织坚持将重点放在Devops上,但很少有人能真正准确地定义它。没有正确的实践作为前提,Devops对团队和企业的承诺是不可能的。
Devops的实现依赖于五个核心组件:敏捷框架、一次性构建/运行anywhere开发方法、所有代码、自动化、通信和协作。
全面普及后,Devops可以加快部署,降低故障率,增强恢复能力。所有这些都将有助于团队乃至企业创造周期更短、适应性更强、质量更好的产品。但这也给我们提出了新的问题&mdash—如何整合安全考虑因素?Devops的重点是以满足安全要求的方式扩展Devops的核心原则。
理解Devops的一个重要方法是拆分Devops的核心组件并检查在何处插入安全元素。
(1) 敏捷框架&mdash—敏捷方法仍然是软件开发生命周期(SDLC)的主要内容。与瀑布式开发方法相反,敏捷开发强调短周期和小变化的结合,以确保组织能够快速响应客户反馈。
然而,敏捷框架面临安全风险。运营反馈来自哪里?是否符合安全要求?这些框架在加快开发周期方面做得很好,但它们往往受到操作和安全需求的制约。开发人员希望将操作和安全工作交给支持工具,同时他们要快速行动,一路勇往直前。
总之,敏捷注重提高开发人员的行动速度,并取得了良好的效果;然而,重点只是开发本身,所有的运营和安全要素都已成为事后需要考虑的要素。
(2) 一次构建,随时随地运行&mdash—容器技术将SDLC提升到了一个新的水平。作为一种真正具有颠覆性的技术,容器使开发人员能够独立于操作资源进行编码、构建、运行和测试。今天,由于开发人员不必分散自己对设置操作环境的注意力,他们可以更加关注测试、安全性和扩展。使用容器技术,dockerfile可以容纳所有内容并在任何地方运行。在提交最终图片之前,开发者根本不需要联系运营工作;但是,在整个过程中,操作仍然存在,并且在不知不觉中为开发人员提供了支持。
尽管开发和操作之间存在这种隔离,但容器本身仍然是一项重大成就,容器的有效性离不开编舞工具的指导。
在这里,我们将邀请下一位重量级嘉宾&mdash—库伯内特斯
Kubernetes使组织能够高效地管理、扩展、观察和访问容器。它将dockerfile的需求抽象为可管理和扩展的显式对象。这种声明性抽象要求开发人员与操作员进行通信,以有效利用kubernetes。随着时间的推移,双方的交流将逐步升级,最终包括安全问题。
(3) 自动化&mdash—那么,安全或操作团队应该如何要求或限制开发人员呢?
通过在不影响开发速度的情况下向开发人员提供直接反馈,自动化成为实现devsecops的关键。单元测试、代码分析和图像扫描已经成为常见的工具,可以轻松地添加到持续集成(CI)管道中,以立即通知开发人员必要的更改。通过开发团队的协作,这些更改可以快速集成到现有管道中。运营和安全团队应该明白,他们越早提供自动反馈机制,开发人员就越早适应这种新的协作模型。
这对安全团队来说非常重要。在组织中,安全团队通常被视为一个“烦人”因为这些人总是强调所谓的“100%安全系统”。但有效的devsecops并不是那么简单和粗糙。
通过新的工具和最佳实践,安全团队可以为开发人员提供稳定、安全的基本映像,从而不断提高代码质量。安全团队还可以在管道中引入自动检查机制,以监控所有yaml文件,这些文件包含权限提升行为、与网络策略不匹配的名称空间或具有漏洞和风险的容器映像。
(4) 一切都是代码&mdash—kubernetes和其他编程语言的声明性大大提高了基础设施和应用程序的可重用性和可理解性。Yaml文件将帮助团队准确理解容器如何按预期工作。通过该文件和注释,可以观察到时钟时间、卷装载和秘密注入等所有行为。这种方法还允许将代码成功地呈现为文档,以便随时进行版本控制和迭代更改。
然而,即使使用最新和最好的工具,如果无法正确记录和分类具体问题,所有的努力可能仍然是徒劳的。如果没有清晰的文档,就很难跨团队分享经验教训。在尝试新的管道配置时,每个团队吸取的经验教训可能会对其他团队起到决定性的指导作用。因此,请使用代码和版本控制系统充分显示更改,并允许各方进行相应讨论。否则,随着单个团队的快速发展,知识共享系统将崩溃,所有团队将难以进行充分沟通。
(5) 沟通与合作&mdash—如果团队和个人之间没有充分的沟通,所有代码、应用程序和安全更改都将毫无意义。IT部门最常被忽视的沟通点之一是清晰地解释意图。
Devops和Devops难以充分发挥其潜力的一个核心原因是,各方往往无法正确理解相关行动的意图。安全团队没有试图阻碍开发工作。他们只是在做自己的工作,确保应用程序的安全性。尽管开发团队也关心安全问题,但他们面临的首要问题始终是如何在截止日期内使新功能顺利上线。
本组织必须努力弥合团队之间的差距,注重吸取教训,鼓励合理的失败尝试,并制定现实的后续目标。从文化的角度来看,这种变化通常是由自上而下的因素驱动的。在重视这种方法的组织中,开发、运行和安全团队愿意讨论哪些意图是合理的,哪些是不合理的,愿意从对方的立场考虑问题。
在快速迭代的软件开发生命周期中,需要建立嵌入式自动安全检查机制
版本控制CI管道
根据组织或团队的职能范围进行管道变更,以改进事故后的安全调查过程
鼓励创新,拥抱由此产生的失败文化
请注意,本文没有明确指定任何特定工具。Devsecops代表了一种文化变革,其背后的思维方式并不局限于任何特定的工具。当然,我们也应该尽可能使用支持协作解决问题的工具,包括确保良好的可移植性、可观察性和提供简单易懂的文档。最重要的是,获得团队的控制权,以建立可在整个团队中共享的上下文材料。
结合各种成功案例和理论层面的巨大潜力,我们相信,这一波持续发展的devsecops最终将成为我们手中的强大武器。
以上就是主机参考分享的关于 Devops和Devops之间有什么区别? 的内容,部分内容来源自网络,不代表本站观点。
转载请注明:https://zhujicankao.com/?p=64984
这几篇文章你可能也喜欢:
本文由主机参考刊发,转载请注明:Devops和Devops之间有什么区别? https://zhujicankao.com/64984.html
评论前必须登录!
注册