如何实施DevSecOps？主要流程有哪些？

heshaoyu555

　　在软件开发中，通过使用DevSecOps可以在开发的早期阶段发现漏洞和错误，降低表面攻击的风险，全面了解潜在威胁和可能的补救方法。那么，如何实施DevSecOps？主要流程有哪些？为方便大家了解，接下来就让小编来为大家简单介绍一下：

　　DevSecOps的具体实践：

　　在系统开发之前，为保证应用的安全，可对开发人员进行信息安全知识培训和必要的安全编码技能的培训。在安全培训周期方面，要全方位、多角度的，既有新人初期培训，也有周期性的培训，还要密切观察开发人员出现的问题并及时给予有针对性的专题培训，方便研发人员在了解漏洞原理之后，能写出高质量、安全的代码。

　　在开发阶段，通过在IDE中引入开源组件&内部依赖组件安全扫描。若发现风险组件，通过同步到JIRA通知开发人员。在系统开发完成之后，开发人员通过GIT/SVN将代码提交到代码仓库。当代码被提交到代码仓库之后触发SAST进行增量源代码安全扫描，并将风险同步到JIRA。除此之外SAST也会对代码仓库进行周期巡检。

　　在代码完成自动构建时，自动对构建代码进行安全扫描，若扫描发现缺陷，将缺陷信息同步至JIRA，由JIRA推送至研发人员，同时终止流水线作业。待研发人员完成缺陷修复后，再新重启发起自动发布流水线。

　　在测试阶段，利用交互式安全检测工具在单元测试、回归测试时，自动收集测试流量，针对测试流量进行分析和自动构建漏洞测试请求，在开展功能测试的同时，即可完成安全测试。若发现漏洞可实时同步到JIRA，并由JIRA将漏洞信息推送研发团队。

　　关于DevSecOps实施流程，小编就先为大家介绍到这里。总的来说，DevSecOps是组织文化、流程和技术的统一。在落地过程中，不同部门的团队协作十分重要，要上级领导甚至最高领导的重视和投入，更多软件开发资讯，可通过极狐GitLab官网来进一步了解。