DevOps秘密管理的秘密

速度，速度，弹性–这三个要素都是DevOps中的关键要素，无需为了安全而牺牲它们。无论如何，需要通过打破某些质疑来稳定文化基础。在本文中，Brian Kelly解释了如何实现这一目标。

组织正在争相创建和发布革命性的应用程序和服务，以使其与竞争对手区分开来并提供卓越的客户体验。像DevOps这样的变革性方法的采用使这成为可能-放慢速度，这在竞争环境中是不可行的。

随着更快的大规模代码交付成为软件开发的新规范，并且持续交付（CD）管道使DevOps团队能够大规模构建和部署应用程序，因此秘密越来越多。密码，密钥和凭据正在越来越多地被创建和分发，它们都必须受到保护。

文化脱节

CyberArk委托最近进行的一项独立调查发现，尽管DevOps专业人员认识到机密管理的重要性，但DevOps与安全团队之间存在脱节，这使标准化机密管理面临挑战。

60％的受访者认为他们的安全团队“缺乏专业技术知识，无法与开发人员和DevOps同行进行有意义的互动。” 有趣的是，几乎与安全/ IT受访者一样，与DevOps受访者相比，安全需要更多的技术专业知识。先前的研究还发现，在整个应用程序开发过程中，只有41％的安全和DevOps团队得到了很好的集成。这导致决策分散，更不用说构建IT语言障碍了。

在不调整目标并加强DevOps与安全性之间的通信的情况下，组织会公开接受未经检查的安全性问题，这些问题会给公司带来风险。

奠定文化基础

不需要牺牲速度，速度和弹性来确保安全，但是需要通过打破筒仓来稳定文化基础。这是如何做：

• 将安全和DevOps团队转变为合作伙伴

开发人员应该接受安全团队在最佳实践和专有技术方面的重要建议，而安全团队应该接受在现代软件工程经常迅速爆发的现实中工作的新方法。 

培训开发人员“像攻击者一样思考”，并建立正式系统以确保DevOps团队了解安全风险并实施良好的安全实践。拥抱坚固的宣言。安全团队需要了解开发人员在保护机密方面面临的挑战以及他们用于解决机密问题的方法。即使应用程序的实际编码是由开发人员完成的，安全团队也需要能够与他们进行可靠的通信。在团队之间建立同理心，致力于将Dev和Ops整合到DevOps中，并且相同的方法可以确保安全。

• 移动安全“左”

安全性必须尽早纳入开发流程中，并且只有在安全性和开发团队进行协作时才能实现。DevOps领导者应尽早将安全方面的代表包括在关键计划和决策中，安全团队需要将注意力集中在增量，小批量连续交付上，以此作为提高安全性的方法，从长远来看将获得更好的结果。

通过在开发过程中尽早进行协作，可以在不影响业务速度的情况下提高安全性。

• 不断进行评估

安全，开发和运营团队可以通过共享目标和指标来建立共识（例如，是否在公共存储库的代码中找到了机密？已保护了百分之几的应用程序机密？一旦机密性得到保护，它们被访问的频率如何？）。这有助于DevOps和安全团队围绕共同的目标进行调整，并建立通用的词汇表。

在大多数情况下，提高安全性是通过不断进步来实现的。团队应该突出每个成功，然后在它们的基础上继续发展。例如，组织可以使用指标来显示已解决了多少攻击面，或者每个DevOps团队满足安全要求的程度如何。旨在取得一些初步的成功，以证明安全性和效率方面的提高，并从那里扩展出来。 

DevOps的兴起从根本上改变了围绕网络安全风险和机密管理的对话。但是，也许从我们的调查中得出的最重要的结论是，DevOps和安全响应者都认识到，秘密管理应该是整个企业范围内的协作过程。这种共识为在团队之间建立更紧密的协作，使企业比他们以前认为的可能更具创新性-而不牺牲安全性-提供了必要的共同基础。