如果在事后才追加安全措施,则无法进行扩展
DevOps 速度中隐藏的瓶颈
“默认安全”将安全决策直接嵌入到开发人员的工作流和交付管道,从而消除摩擦,使团队不必在速度和安全性之间做出选择。
默认安全会带来哪些变化:
- 安全问题在代码编写过程中就被发现,而不是在发布之后
- 根据上下文自动提出修复建议
- 风险优先级的确定依据是实际影响,而非数量
- 持续执行控制,无需人工审查
安全性需求存在于基础设施代码中
高绩效的 DevOps 团队在引入时就解决了安全和配置漂移问题:基础设施代码。“默认安全”会在整个生命周期中应用集中定义的防护措施。
代码中
- 在 IDE 和拉取请求中直接进行 AI 驱动的脆弱性检测
- 自动化修复建议以缩短修复时间
- 软件构成分析,识别易受攻击的依赖项
- 基于风险的优先级排序,使团队能够专注于最重要的事情
在 CI/CD 中
- 合并前执行策略,防止发布有风险的变更
- 进行签名工件验证,以保护软件供应链
- 生成 SBOM,实现组件全面可见性
- 漂移检测,识别会引入新风险的变更
左移安全性意味着早期嵌入保护
“默认安全”更进一步,确保在每个阶段自动应用安全控制,无需开发人员成为安全专家。
在基础设施中
- 默认情况下保护模块,降低错误配置风险
- 用于实施最佳实践的基础设施即代码防护措施
- 变更风险评分,以便在部署前了解更新的影响
运行时
- 持续暴露管理,识别生产中的生效风险
- 闭环修复:自动将运行时洞察分析反馈到代码和管道中
