软件合规性团队应借鉴DevSecOps实践

本文主要是介绍软件合规性团队应借鉴DevSecOps实践，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

作者：新思科技应用安全分析师Charlie Klein

尽管软件测试对于合规性至关重要，但当测试工具无法跟上现代软件开发的速度时，开发人员也会感到沮丧。本文将为您解析如何在不影响软件开发速度的情况下进行有效的软件合规性测试。

许多人认为应用安全仅仅应该是安全团队的责任。然而，虽然安全专家可以对此做出贡献，开发人员通常是唯一具备修复软件安全漏洞的技术能力的人。软件合规性也是如此。归根结底，只有开发人员才能构建符合特定软件标准的应用程序。

考虑到开发团队的紧迫期限，给他们额外的职责可能会带来挑战。为了帮助开发人员在不降低速度的情况下交付安全的应用程序，许多团队采用了DevSecOps，鼓励将自动安全测试集成到每个版本的DevOps工作流程中。

DevSecOps帮助团队更快地交付更安全的软件，但是否是更加符合合规性的软件呢？许多尝试实现软件合规性的团队遇到了与试图实现软件安全性的团队相似的挑战。幸运的是，他们可以采用相似的策略。

DevSecOps的作用是什么？

DevOps工作流程支持快速迭代的软件发布周期，这给软件安全带来了一定障碍。

在保护软件安全的传统方法中，测试是在应用程序构建之后，软件开发生命周期结束之后才进行的。结果，大多数（如果不是全部的话）应用程序同时测试，并且将一长串、令人生畏的安全问题清单发回给开发人员。

然而，许多团队发现这种方法与DevOps不兼容。开发团队没有时间，更不用说预算，来停止他们正在做的事情去处理一大堆表格中的问题。

为了解决这个问题，企业可以通过将安全测试集成到DevOps发布周期更短的、更高频率的反馈循环中，以实现DevSecOps。DevSecOps要求在早期经常执行自动安全测试，而不是在开发人员完成构建应用程序之后运行大型的测试。通过帮助开发人员编入更安全的代码，DevSecOps有助于减少质量保证（QA）必须识别以及发回来的问题数量。

如果开发团队可以将安全测试集成到DevOps工作流程中，为什么不将合规性测试也集成到DevOps工作流程中呢？

如何将DevSecOps实践应用到软件合规性中？

虽然安全测试通常与合规性测试要求不一样的分析方法，但是尝试DevSecOps的开发团队可以使用类似的方法来进行合规性测试。

正如传统的应用安全测试一样，合规性测试通常发生在QA环境中。大致的应用开发和测试流程如下所示：