为什么DevOps实施常常失败(以及如何解决)
本文最初发表于 DevOps.com。现已更新并修订。
与“区块链”、“大数据”和“数字颠覆”类似,“DevOps”一词是当前大型组织IT部门中另一个流行的术语。
许多人(正确地)认识到需要更快的软件开发生命周期;需要一个更精确、与业务目标紧密对齐的流程,从而使开发团队与运维团队之间的工作流程和协作更加清晰。 DevOps本质上是为应对现代企业需求而发展起来的"敏捷"开发模式——这些企业需要持续创新并快速部署。对安全专业人员而言,这无疑是绝佳举措:我们能更早地将安全机制融入流程,从而降低错误修复成本,并避免未来可能发生的灾难性后果。
问题在于,真正成功实施DevOps的企业寥寥无几。若缺乏全公司范围内的充分支持、关怀与理解,企业很快就会沦为无底洞……你知道的,就是那种"不谈战争"的项目。
那么问题出在哪里?这是一个值得探讨的话题,我认为有几种方法可以让DevOps的实施过程更加顺畅。一个有效的计划不仅需要几款新工具、新头衔和新颖的团队会议。 过程未必总是一帆风顺,但花时间修正失效的策略(或从一开始就正确实施),从长远来看将减少许多痛苦。最终,这将转化为更安全、更高质量的软件。
让我们来分解一下:
解开围裙的绳结「敏捷」。
存在一种略显谬误的观点,认为组织必须在敏捷(Agile)与DevOps之间二选一,选择其中一条道路并一往无前。
关键在于,当两者被视为一体并协同实施时,开发流程才能发挥最佳效能。DevOps并非对敏捷开发的重新发明,而是其自然延伸。当人们期待流程完全遵循敏捷模式,或彻底背离敏捷原则时,往往会导致体系崩溃。
敏捷开发倡导跨职能团队原则,因为它从项目初期就汇集设计师、测试人员和开发人员,并致力于在整个项目过程中保持畅通的沟通渠道。 其目标在于消除孤岛交付并减少双重管理,这些同样是DevOps流程的优势。然而DevOps更进一步,将系统、安全和运维纳入体系,构建全面而坚实的能力组合,最终目标是向客户交付完整且功能完善的软件。
在向更侧重DevOps的流程转型过程中,不可避免会出现一些棘手问题,孤岛式开发的风险可能再度浮现。通常,最初的敏捷团队会协同工作,而安全和运维团队的加入仍在艰难推进;没有人真正清楚如何整合这些团队、他们应承担哪些职责,以及他们的总体目标是什么。
DevOps若缺乏明确目标、跨职能协作以及与所有相关方的直接沟通,便难以有效运作。不可否认,转型初期需要谨慎管理变革,但让所有成员认同DevOps功能带来的改进,已然是成功的一半。
越来越多的(谢天谢地)DevOps实践开始将安全最佳实践纳入流程,消除了这一环节的神秘感,并缩小了安全团队与其他所有团队之间的鸿沟。 正如我之前所言,要实现开发人员从一开始就安全编程的目标,我们仍有很长的路要走。但成功实施DevOps方法论为培养开发团队的安全能力奠定了坚实基础。
自动化并非万能(也并非最安全)。
DevOps方法论的另一特征,在某种程度上是软件开发过程的自动化。 持续集成与持续交付(CI/CD)原则是该理念的基石,正如您所想象的那样,它们在很大程度上依赖于工具。
这些工具确实非常出色。它们能够为软件交付流程带来前所未有的速度,因为它们能够相对流畅地管理代码库、测试、维护和存储元素。
然而,尽管机器人终有一天可能夺走我们所有工作并囚禁人类,但它们显然尚未做到。对工具和自动化的过度依赖为错误敞开了大门。扫描与测试可能无法发现所有问题,代码也可能未被充分验证,这将在未来引发巨大的质量问题(更不用说安全隐患)。 攻击者只需找到一个后门便能趁虚而入窃取数据,而放弃人工参与质量与安全控制可能带来灾难性后果。
所谓“中庸之道”在于确保人与工具之间的平衡。工具应当成为团队的辅助手段,而团队需要值得信赖,才能实现项目目标。你应该:
- 为人员熟悉所选DevOps工具链预留充足时间
- 专注于高效协作(以及工具如何支持协作)
- 处理流程中的任何漏洞,无论是基于技能/知识还是工具的漏洞。
总而言之,不要只满足于"做好准备"并祈求好运。
DevOps 并非一时流行词,而是一种文化。你是否在培育属于自己的文化?
变革管理在最佳情况下也充满挑战。对未知的恐惧可能阻碍团队中最优秀的成员发展技能、拓展视野。
须知,仅仅喊出"实施DevOps"的口号,或让运维团队搬个办公桌,并不能神奇地建立起成功的流程。 多数人会感到困惑,而资深成员则可能心生不满。明确传达期望至关重要,"以身作则"同样不可或缺。DevOps既是文化变革也是开发方法论,团队必须将跨职能协作的理念融入日常运作。
优秀的DevOps文化是什么样子的?
- 人们有能力将自身经验融入整个进程,而不仅仅是贡献给领导者。
- 团队之间保持开放、诚实且相互尊重的沟通
- 每个人都承担着将质量和安全融入开发过程这一总体目标的责任。
- 公司内部对DevOps的定义、路线图以及每个人的角色如何、做什么和为什么都达成了一致。
多年来,我一直强调在开发团队中建立积极安全文化的重要性,而DevOps也不例外。
要实现最佳安全实践、降低漏洞发现率并让团队理解保护数据的重要性,必须配备适当的工具、知识和支持。在DevOps实践中,需建立推动积极变革的文化基础:确保每个人都理解自身职责、价值与期望,明确项目总体目标及流程步骤。
掌握了吗?太棒了。 现在转换视角,强化安全维度,让DevSecOps成为软件卓越的终极方案。
首席执行官、主席和联合创始人
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
本文最初发表于 DevOps.com。现已更新并修订。
与“区块链”、“大数据”和“数字颠覆”类似,“DevOps”一词是当前大型组织IT部门中另一个流行的术语。
许多人(正确地)认识到需要更快的软件开发生命周期;需要一个更精确、与业务目标紧密对齐的流程,从而使开发团队与运维团队之间的工作流程和协作更加清晰。 DevOps本质上是为应对现代企业需求而发展起来的"敏捷"开发模式——这些企业需要持续创新并快速部署。对安全专业人员而言,这无疑是绝佳举措:我们能更早地将安全机制融入流程,从而降低错误修复成本,并避免未来可能发生的灾难性后果。
问题在于,真正成功实施DevOps的企业寥寥无几。若缺乏全公司范围内的充分支持、关怀与理解,企业很快就会沦为无底洞……你知道的,就是那种"不谈战争"的项目。
那么问题出在哪里?这是一个值得探讨的话题,我认为有几种方法可以让DevOps的实施过程更加顺畅。一个有效的计划不仅需要几款新工具、新头衔和新颖的团队会议。 过程未必总是一帆风顺,但花时间修正失效的策略(或从一开始就正确实施),从长远来看将减少许多痛苦。最终,这将转化为更安全、更高质量的软件。
让我们来分解一下:
解开围裙的绳结「敏捷」。
存在一种略显谬误的观点,认为组织必须在敏捷(Agile)与DevOps之间二选一,选择其中一条道路并一往无前。
关键在于,当两者被视为一体并协同实施时,开发流程才能发挥最佳效能。DevOps并非对敏捷开发的重新发明,而是其自然延伸。当人们期待流程完全遵循敏捷模式,或彻底背离敏捷原则时,往往会导致体系崩溃。
敏捷开发倡导跨职能团队原则,因为它从项目初期就汇集设计师、测试人员和开发人员,并致力于在整个项目过程中保持畅通的沟通渠道。 其目标在于消除孤岛交付并减少双重管理,这些同样是DevOps流程的优势。然而DevOps更进一步,将系统、安全和运维纳入体系,构建全面而坚实的能力组合,最终目标是向客户交付完整且功能完善的软件。
在向更侧重DevOps的流程转型过程中,不可避免会出现一些棘手问题,孤岛式开发的风险可能再度浮现。通常,最初的敏捷团队会协同工作,而安全和运维团队的加入仍在艰难推进;没有人真正清楚如何整合这些团队、他们应承担哪些职责,以及他们的总体目标是什么。
DevOps若缺乏明确目标、跨职能协作以及与所有相关方的直接沟通,便难以有效运作。不可否认,转型初期需要谨慎管理变革,但让所有成员认同DevOps功能带来的改进,已然是成功的一半。
越来越多的(谢天谢地)DevOps实践开始将安全最佳实践纳入流程,消除了这一环节的神秘感,并缩小了安全团队与其他所有团队之间的鸿沟。 正如我之前所言,要实现开发人员从一开始就安全编程的目标,我们仍有很长的路要走。但成功实施DevOps方法论为培养开发团队的安全能力奠定了坚实基础。
自动化并非万能(也并非最安全)。
DevOps方法论的另一特征,在某种程度上是软件开发过程的自动化。 持续集成与持续交付(CI/CD)原则是该理念的基石,正如您所想象的那样,它们在很大程度上依赖于工具。
这些工具确实非常出色。它们能够为软件交付流程带来前所未有的速度,因为它们能够相对流畅地管理代码库、测试、维护和存储元素。
然而,尽管机器人终有一天可能夺走我们所有工作并囚禁人类,但它们显然尚未做到。对工具和自动化的过度依赖为错误敞开了大门。扫描与测试可能无法发现所有问题,代码也可能未被充分验证,这将在未来引发巨大的质量问题(更不用说安全隐患)。 攻击者只需找到一个后门便能趁虚而入窃取数据,而放弃人工参与质量与安全控制可能带来灾难性后果。
所谓“中庸之道”在于确保人与工具之间的平衡。工具应当成为团队的辅助手段,而团队需要值得信赖,才能实现项目目标。你应该:
- 为人员熟悉所选DevOps工具链预留充足时间
- 专注于高效协作(以及工具如何支持协作)
- 处理流程中的任何漏洞,无论是基于技能/知识还是工具的漏洞。
总而言之,不要只满足于"做好准备"并祈求好运。
DevOps 并非一时流行词,而是一种文化。你是否在培育属于自己的文化?
变革管理在最佳情况下也充满挑战。对未知的恐惧可能阻碍团队中最优秀的成员发展技能、拓展视野。
须知,仅仅喊出"实施DevOps"的口号,或让运维团队搬个办公桌,并不能神奇地建立起成功的流程。 多数人会感到困惑,而资深成员则可能心生不满。明确传达期望至关重要,"以身作则"同样不可或缺。DevOps既是文化变革也是开发方法论,团队必须将跨职能协作的理念融入日常运作。
优秀的DevOps文化是什么样子的?
- 人们有能力将自身经验融入整个进程,而不仅仅是贡献给领导者。
- 团队之间保持开放、诚实且相互尊重的沟通
- 每个人都承担着将质量和安全融入开发过程这一总体目标的责任。
- 公司内部对DevOps的定义、路线图以及每个人的角色如何、做什么和为什么都达成了一致。
多年来,我一直强调在开发团队中建立积极安全文化的重要性,而DevOps也不例外。
要实现最佳安全实践、降低漏洞发现率并让团队理解保护数据的重要性,必须配备适当的工具、知识和支持。在DevOps实践中,需建立推动积极变革的文化基础:确保每个人都理解自身职责、价值与期望,明确项目总体目标及流程步骤。
掌握了吗?太棒了。 现在转换视角,强化安全维度,让DevSecOps成为软件卓越的终极方案。
本文最初发表于 DevOps.com。现已更新并修订。
与“区块链”、“大数据”和“数字颠覆”类似,“DevOps”一词是当前大型组织IT部门中另一个流行的术语。
许多人(正确地)认识到需要更快的软件开发生命周期;需要一个更精确、与业务目标紧密对齐的流程,从而使开发团队与运维团队之间的工作流程和协作更加清晰。 DevOps本质上是为应对现代企业需求而发展起来的"敏捷"开发模式——这些企业需要持续创新并快速部署。对安全专业人员而言,这无疑是绝佳举措:我们能更早地将安全机制融入流程,从而降低错误修复成本,并避免未来可能发生的灾难性后果。
问题在于,真正成功实施DevOps的企业寥寥无几。若缺乏全公司范围内的充分支持、关怀与理解,企业很快就会沦为无底洞……你知道的,就是那种"不谈战争"的项目。
那么问题出在哪里?这是一个值得探讨的话题,我认为有几种方法可以让DevOps的实施过程更加顺畅。一个有效的计划不仅需要几款新工具、新头衔和新颖的团队会议。 过程未必总是一帆风顺,但花时间修正失效的策略(或从一开始就正确实施),从长远来看将减少许多痛苦。最终,这将转化为更安全、更高质量的软件。
让我们来分解一下:
解开围裙的绳结「敏捷」。
存在一种略显谬误的观点,认为组织必须在敏捷(Agile)与DevOps之间二选一,选择其中一条道路并一往无前。
关键在于,当两者被视为一体并协同实施时,开发流程才能发挥最佳效能。DevOps并非对敏捷开发的重新发明,而是其自然延伸。当人们期待流程完全遵循敏捷模式,或彻底背离敏捷原则时,往往会导致体系崩溃。
敏捷开发倡导跨职能团队原则,因为它从项目初期就汇集设计师、测试人员和开发人员,并致力于在整个项目过程中保持畅通的沟通渠道。 其目标在于消除孤岛交付并减少双重管理,这些同样是DevOps流程的优势。然而DevOps更进一步,将系统、安全和运维纳入体系,构建全面而坚实的能力组合,最终目标是向客户交付完整且功能完善的软件。
在向更侧重DevOps的流程转型过程中,不可避免会出现一些棘手问题,孤岛式开发的风险可能再度浮现。通常,最初的敏捷团队会协同工作,而安全和运维团队的加入仍在艰难推进;没有人真正清楚如何整合这些团队、他们应承担哪些职责,以及他们的总体目标是什么。
DevOps若缺乏明确目标、跨职能协作以及与所有相关方的直接沟通,便难以有效运作。不可否认,转型初期需要谨慎管理变革,但让所有成员认同DevOps功能带来的改进,已然是成功的一半。
越来越多的(谢天谢地)DevOps实践开始将安全最佳实践纳入流程,消除了这一环节的神秘感,并缩小了安全团队与其他所有团队之间的鸿沟。 正如我之前所言,要实现开发人员从一开始就安全编程的目标,我们仍有很长的路要走。但成功实施DevOps方法论为培养开发团队的安全能力奠定了坚实基础。
自动化并非万能(也并非最安全)。
DevOps方法论的另一特征,在某种程度上是软件开发过程的自动化。 持续集成与持续交付(CI/CD)原则是该理念的基石,正如您所想象的那样,它们在很大程度上依赖于工具。
这些工具确实非常出色。它们能够为软件交付流程带来前所未有的速度,因为它们能够相对流畅地管理代码库、测试、维护和存储元素。
然而,尽管机器人终有一天可能夺走我们所有工作并囚禁人类,但它们显然尚未做到。对工具和自动化的过度依赖为错误敞开了大门。扫描与测试可能无法发现所有问题,代码也可能未被充分验证,这将在未来引发巨大的质量问题(更不用说安全隐患)。 攻击者只需找到一个后门便能趁虚而入窃取数据,而放弃人工参与质量与安全控制可能带来灾难性后果。
所谓“中庸之道”在于确保人与工具之间的平衡。工具应当成为团队的辅助手段,而团队需要值得信赖,才能实现项目目标。你应该:
- 为人员熟悉所选DevOps工具链预留充足时间
- 专注于高效协作(以及工具如何支持协作)
- 处理流程中的任何漏洞,无论是基于技能/知识还是工具的漏洞。
总而言之,不要只满足于"做好准备"并祈求好运。
DevOps 并非一时流行词,而是一种文化。你是否在培育属于自己的文化?
变革管理在最佳情况下也充满挑战。对未知的恐惧可能阻碍团队中最优秀的成员发展技能、拓展视野。
须知,仅仅喊出"实施DevOps"的口号,或让运维团队搬个办公桌,并不能神奇地建立起成功的流程。 多数人会感到困惑,而资深成员则可能心生不满。明确传达期望至关重要,"以身作则"同样不可或缺。DevOps既是文化变革也是开发方法论,团队必须将跨职能协作的理念融入日常运作。
优秀的DevOps文化是什么样子的?
- 人们有能力将自身经验融入整个进程,而不仅仅是贡献给领导者。
- 团队之间保持开放、诚实且相互尊重的沟通
- 每个人都承担着将质量和安全融入开发过程这一总体目标的责任。
- 公司内部对DevOps的定义、路线图以及每个人的角色如何、做什么和为什么都达成了一致。
多年来,我一直强调在开发团队中建立积极安全文化的重要性,而DevOps也不例外。
要实现最佳安全实践、降低漏洞发现率并让团队理解保护数据的重要性,必须配备适当的工具、知识和支持。在DevOps实践中,需建立推动积极变革的文化基础:确保每个人都理解自身职责、价值与期望,明确项目总体目标及流程步骤。
掌握了吗?太棒了。 现在转换视角,强化安全维度,让DevSecOps成为软件卓越的终极方案。
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
本文最初发表于 DevOps.com。现已更新并修订。
与“区块链”、“大数据”和“数字颠覆”类似,“DevOps”一词是当前大型组织IT部门中另一个流行的术语。
许多人(正确地)认识到需要更快的软件开发生命周期;需要一个更精确、与业务目标紧密对齐的流程,从而使开发团队与运维团队之间的工作流程和协作更加清晰。 DevOps本质上是为应对现代企业需求而发展起来的"敏捷"开发模式——这些企业需要持续创新并快速部署。对安全专业人员而言,这无疑是绝佳举措:我们能更早地将安全机制融入流程,从而降低错误修复成本,并避免未来可能发生的灾难性后果。
问题在于,真正成功实施DevOps的企业寥寥无几。若缺乏全公司范围内的充分支持、关怀与理解,企业很快就会沦为无底洞……你知道的,就是那种"不谈战争"的项目。
那么问题出在哪里?这是一个值得探讨的话题,我认为有几种方法可以让DevOps的实施过程更加顺畅。一个有效的计划不仅需要几款新工具、新头衔和新颖的团队会议。 过程未必总是一帆风顺,但花时间修正失效的策略(或从一开始就正确实施),从长远来看将减少许多痛苦。最终,这将转化为更安全、更高质量的软件。
让我们来分解一下:
解开围裙的绳结「敏捷」。
存在一种略显谬误的观点,认为组织必须在敏捷(Agile)与DevOps之间二选一,选择其中一条道路并一往无前。
关键在于,当两者被视为一体并协同实施时,开发流程才能发挥最佳效能。DevOps并非对敏捷开发的重新发明,而是其自然延伸。当人们期待流程完全遵循敏捷模式,或彻底背离敏捷原则时,往往会导致体系崩溃。
敏捷开发倡导跨职能团队原则,因为它从项目初期就汇集设计师、测试人员和开发人员,并致力于在整个项目过程中保持畅通的沟通渠道。 其目标在于消除孤岛交付并减少双重管理,这些同样是DevOps流程的优势。然而DevOps更进一步,将系统、安全和运维纳入体系,构建全面而坚实的能力组合,最终目标是向客户交付完整且功能完善的软件。
在向更侧重DevOps的流程转型过程中,不可避免会出现一些棘手问题,孤岛式开发的风险可能再度浮现。通常,最初的敏捷团队会协同工作,而安全和运维团队的加入仍在艰难推进;没有人真正清楚如何整合这些团队、他们应承担哪些职责,以及他们的总体目标是什么。
DevOps若缺乏明确目标、跨职能协作以及与所有相关方的直接沟通,便难以有效运作。不可否认,转型初期需要谨慎管理变革,但让所有成员认同DevOps功能带来的改进,已然是成功的一半。
越来越多的(谢天谢地)DevOps实践开始将安全最佳实践纳入流程,消除了这一环节的神秘感,并缩小了安全团队与其他所有团队之间的鸿沟。 正如我之前所言,要实现开发人员从一开始就安全编程的目标,我们仍有很长的路要走。但成功实施DevOps方法论为培养开发团队的安全能力奠定了坚实基础。
自动化并非万能(也并非最安全)。
DevOps方法论的另一特征,在某种程度上是软件开发过程的自动化。 持续集成与持续交付(CI/CD)原则是该理念的基石,正如您所想象的那样,它们在很大程度上依赖于工具。
这些工具确实非常出色。它们能够为软件交付流程带来前所未有的速度,因为它们能够相对流畅地管理代码库、测试、维护和存储元素。
然而,尽管机器人终有一天可能夺走我们所有工作并囚禁人类,但它们显然尚未做到。对工具和自动化的过度依赖为错误敞开了大门。扫描与测试可能无法发现所有问题,代码也可能未被充分验证,这将在未来引发巨大的质量问题(更不用说安全隐患)。 攻击者只需找到一个后门便能趁虚而入窃取数据,而放弃人工参与质量与安全控制可能带来灾难性后果。
所谓“中庸之道”在于确保人与工具之间的平衡。工具应当成为团队的辅助手段,而团队需要值得信赖,才能实现项目目标。你应该:
- 为人员熟悉所选DevOps工具链预留充足时间
- 专注于高效协作(以及工具如何支持协作)
- 处理流程中的任何漏洞,无论是基于技能/知识还是工具的漏洞。
总而言之,不要只满足于"做好准备"并祈求好运。
DevOps 并非一时流行词,而是一种文化。你是否在培育属于自己的文化?
变革管理在最佳情况下也充满挑战。对未知的恐惧可能阻碍团队中最优秀的成员发展技能、拓展视野。
须知,仅仅喊出"实施DevOps"的口号,或让运维团队搬个办公桌,并不能神奇地建立起成功的流程。 多数人会感到困惑,而资深成员则可能心生不满。明确传达期望至关重要,"以身作则"同样不可或缺。DevOps既是文化变革也是开发方法论,团队必须将跨职能协作的理念融入日常运作。
优秀的DevOps文化是什么样子的?
- 人们有能力将自身经验融入整个进程,而不仅仅是贡献给领导者。
- 团队之间保持开放、诚实且相互尊重的沟通
- 每个人都承担着将质量和安全融入开发过程这一总体目标的责任。
- 公司内部对DevOps的定义、路线图以及每个人的角色如何、做什么和为什么都达成了一致。
多年来,我一直强调在开发团队中建立积极安全文化的重要性,而DevOps也不例外。
要实现最佳安全实践、降低漏洞发现率并让团队理解保护数据的重要性,必须配备适当的工具、知识和支持。在DevOps实践中,需建立推动积极变革的文化基础:确保每个人都理解自身职责、价值与期望,明确项目总体目标及流程步骤。
掌握了吗?太棒了。 现在转换视角,强化安全维度,让DevSecOps成为软件卓越的终极方案。
%20(1).avif)
.avif)
