中小企业开展DevSecOps建设内容介绍

目录

一、中小企业DevSecOps建设概述

1.1 概述

二、中小企业开展DevSecOps建设的初衷

2.1 快速应对外部安全威胁

2.2 加强组织协同

三、建设DevSecOps步骤

3.1 需求与现状调研

3.1.1 负责安全的公司高层

3.1.2 研发负责人

3.1.3 技术负责人

3.1.4 运维负责人

3.2 规划建设

3.2.1 技术选型原则与说明

3.2.2.1 AWS DevSecOps公有云方案说明

3.2.2.1.1 AWS DevSecOps公有云方案图

3.2.2.1.2 方案说明

3.2.2.1.3 AWS DevSecOps公有云方案产品/工具选型

---

一、中小企业DevSecOps建设概述

1.1 概述

中小型企业开展DevSecOps建设的不在少数，甚至部分企业在DevSecOps建设水平上已经远超大多数互联网头部企业。这是因为中小型互联网企业的业务特点和业务体量，决定了它们在DevSecOps方面的天然优势要强于互联网头部企业。下面，就来介绍中小型企业的DevSecOps建设规划。

二、中小企业开展DevSecOps建设的初衷

中小型企业开展DevSecOps建设的原始诉求大多数很明确，归纳出来有两点。具体如下：

2.1 快速应对外部安全威胁

为了快速应对外部安全威胁，通过DevSecOps加快威胁发现到上线交付的闭环，缩短风险暴露时间。

2.2 加强组织协同

加强组织协同，在保障安全的同时降本增效。

这两点也是很多中小型企业建设DevSecOps的初衷。中小型企业自身的业务体量和规模决定了它们在企业安全建设上无法和互联网头部企业一样投入大量的资源和人力。所以，在做中小型企业DevSecOps建设规划时，要了解这些制约因素首先需要开展需求与现状调研。

三、建设DevSecOps步骤

3.1 需求与现状调研

开展需求与现状调研的目的主要是了解企业现状，明确企业高层期望和可以投入的资源预期，掌握关键干系人诉求，识别助力因素和于扰因素，以便做出合理的规划。在开展需求与现状调研时，首先要明确调研的对象，确定关键干系人，约定好时间沟通交流。这其中，有几个角色比较关键。

3.1.1 负责安全的公司高层

主要了解他对DevSecOps建设的期望值和希望推进的进度节奏、计划投入的资源，以及他对DevSecOps建设的态度。

3.1.2 研发负责人

主要了解当前研发管理的现状，是否有管理流程，管理流程涉及哪些角色，希望安全从什么角度切入帮他解决什么问题等。

3.1.3 技术负责人

主要了解当前技术架构的组成、使用的主流技术栈、当前有哪些痛点、未来的规划等。

3.1.4 运维负责人

主要了解当前运维管理的现状、使用的流程和工具、经常发生哪些安全事件、未来的规划等。

当然，除了这些信息，其他更细节的信息需要深入到不同的研发活动中去了解，如代码开发过程版本是如何管理的，使用什么IDE，版本控制管理软件是什么等。前期调研工作做得越细致，后续规划起来就越得心应手。

3.2 规划建设

从企业高层了解了DevSecOps建设期望和目标，也从其他关键干系人了解到了企业的现状，就可以开展DevSecOps建设规划了

3.2.1 技术选型原则与说明

一般来说，DevSecOps的建设规划在技术路线选型上跟随基础设施。这句话的含义是基础设施使用公有云厂商的，则DevSecOps建设的技术路线选型也使用公有云厂商；基础设施是企业自建的，则DevSecOps建设的技术路线选型部分使用公有云厂商，部分自建。对于中小型企业，不建议一开始就自建DevSecOps平台，可以先使用公有云厂商的能力构建DevSecOps黄金管道，等业务规模发展起来了，再逐步过渡到自建DevSecOps平台上来。如果企业领导不倾向于使用公有云厂商的DevSecOps能力，则可以考虑使用开源产品自行构建，但这对负责DevSecOps工作的安全人员来说挑战比较大。

3.2.2.1 AWS DevSecOps公有云方案说明

3.2.2.1.1 AWS DevSecOps公有云方案图

使用公有云厂商的DevSecOps解决方案时，不同的公有云厂商推荐的解决方案大同小异。这里以亚马逊AWS云产品为例提供一套适配方案供读者参考，如图2-7所示。

3.2.2.1.2 方案说明

在这个方案中，除了开源的安全工具外，还有很多AWS的云产品。其他公有云厂商也有类似的产读者在做建设规划时可以横向比较后再做选择。

3.2.2.1.3 AWS DevSecOps公有云方案产品/工具选型

这里，选择的产品或工具如表2-6所示。

基于公有云厂商的产品，DevSecOps管道能力可以快速地搭建，DevSecOps体系落地工作的开展则主要在于管理规范的制定和基于管道能力之上的常态化运营。

好了，本次内容就分享到这，欢迎大家关注《DevSecOps》专栏，后续会继续输出相关内容文章。如果有帮助到大家，欢迎大家点赞+关注+收藏，有疑问也欢迎大家评论留言！