20个it专业术语

首先是“ DevOps”一词。

它具有许多不同方面。 对于某些人来说， DevOps主要是一种重视协作，开放和透明的文化。 其他人则更多地关注关键实践和原则，例如使一切自动化，不断迭代和进行大量测试。 尽管DevOps与特定工具无关，但某些平台和工具使其成为更实用的命题。 考虑容器和相关的开源云原生技术（如Kubernetes）和CI / CD管道工具（如Jenkins）以及本机Linux功能。

但是，围绕DevOps最早阐明的概念之一是打破“混乱之墙”，特别是在开发人员和运营团队之间。 这是基于这样的想法：开发人员对操作问题的考虑不多，而运营商对应用程序开发的考虑不多。 再加上一个事实，即开发人员希望快速行动，而操作员更关心（并倾向于衡量）稳定性而不是速度，因此很容易理解为什么很难将两个组放在同一页面上。 因此，DevOps象征着开发人员和运营商之间更加紧密的合作，甚至在某种程度上合并了角色。

我很高兴你问。

首先，它只是一个有用的提醒。 如果从历史上看，开发人员和运营人员是IT组织中最常见的两个孤岛，那么安全性（并且通常仍然是）是另一个。 安全人员通常被认为是保守的看门人，对这些人来说，“不”通常是对新软件版本和技术的最安全的React。 安全的工作是保护公司，即使这意味着要在快速的开发过程中刹车。

对于非专业人士而言，传统安全性的许多方面，甚至词汇量，都似乎是不可思议的。 这也促使人们认为安全性是主流IT之外的东西。 我经常分享以下轶事：一两年前，我在伦敦的DevOpsDays活动中主持安全讨论，我们在其中讨论传统的安全角色。 其中一名参与者举起了手，并承认他是那些安全门卫之一。 他接着说，这是他职业生涯中第一次参加过不是像RSA这样的传统安全性会议的会议。 （他还指出，他将进一步拓宽他和他的团队的视野。）

因此，DevSecOps也许不应该成为必需的术语。 但是，在软件安全威胁不断升级的时候，明确指出它似乎是一种好习惯。

第二个原因是，云原生技术（尤其是围绕容器构建的云原生技术）的广泛引入与DevOps实践紧密相关。 这些新技术正在引领并实现更大的规模和更动态的基础架构。 静态安全策略和清单不再足够。 安全必须成为一项持续的活动。 而且，必须在应用程序和基础架构生命周期的每个阶段都考虑它。

这里有一些例子：

您需要保护管道和应用程序。 您需要使用内容的可信来源，以便了解谁签署了容器映像，并且它们是最新的修补程序。 您的持续集成系统必须集成自动化安全测试。 有时您会听到人们谈论“向左转移安全性”，这意味着在此过程中尽早进行处理，以便可以更快地解决问题。 但是，实际上最好考虑在测试，集成，部署和持续管理过程的每个步骤中将安全性嵌入整个管道中。

您需要保护基础架构。 这意味着从容器转义中保护主机Linux内核，并确保容器之间的安全。 这意味着使用具有集成安全性功能的容器编排平台。 这意味着通过使用网络名称空间将应用程序与群集中的其他应用程序隔离，并使环境（例如开发，测试和生产）彼此隔离，从而保护网络。

这意味着要利用更广泛的安全生态系统，例如容器内容扫描程序和漏洞管理工具。

简而言之，它是DevSecOps，因为现代应用程序开发和容器平台需要新型的Dev和新型的Ops。 但是它们还需要一种新型的秒。 因此，DevSecOps。

接下来要读什么

翻译自: https://opensource.com/article/18/4/devsecops

20个it专业术语