CH06 被Sec攔腰折斷的DevSecOps？

盧建成
《靖本行策 CPHT》

“ Your assumptions are your windows on the world. Scrub them off every once in a while, or the light won't come in ＂―― Alan Alda

從合作到衝突？

DevOps旨在讓交付產品的開發人員和維運人員得以順暢協作，以便讓產品價值能夠最大化。同樣地，DevSecOps旨在讓開發人員、安全人員和維運人員透過合作來避免安全需求所造成的交付卡頓，或因過度追求交付而承受不該有的風險，最終讓價值蒙受損失。不過說是這樣說，非功能性的需求往往不易感受也不容易在第一時間被認為是需求，尤其安全更是如此。這也正是為什麼傳統安全總在開案提醒，而結案卡死，因為安全的需求並未真正被接納成為一個需求，而開發團隊（包含產品團隊）都未能為此需求做好準備，也就只能迎來結案時的風暴和合作時的價值衝突。

本章會透過心態、核心概念、生命週期和務實落地四個方面來讓大家對DevSecOps有更好的了解。雖然常見的分享都會提及因安全而帶來的不便和衝突，而實際上也的確存在這些議題，但筆者在產業內進行實際輔導和培訓時，卻發現另一種狀況。那就是工程人員並未意識到其實自己透過本來也就在做的自動化，便能達成基礎的安全需求。當他們發現這件事後，展現出來的並不是抵抗情緒，而是躍躍欲試。

每個組織有不同的狀況，不管是正在思考導入或已經長期苦惱於安全的你，不妨先試著放開既有想法，透過重新審視或許你將得到不一樣的解答。

期望本章將成為你開啟不同思索模式的鑰匙。