为什么 DevOps 已不再足够：DevSecOps 的崛起

Source: Dev.to

传统 DevOps 的问题

DevOps 流水线在回答以下问题时表现出色：

• 我们能多快完成构建？
• 我们能多快部署？

但在回答以下问题时表现糟糕：

• 这在生产环境中运行是否安全？

在许多传统 DevOps 设置中：

• 安全检查在部署之后才进行
• 漏洞被报告，但未被强制修复
• 密钥意外泄露到源码控制中
• 易受攻击的依赖未被发现

没有安全的速度，只是更快的失败。

为什么安全无法停留在最后

现代应用程序是：

• 基于开源依赖构建
• 容器化并部署在 Kubernetes 上
• 默认面向互联网
• 一个泄露的 API 密钥、一个有漏洞的库或一个不安全的容器镜像都可能导致泄露。

这就是 DevSecOps 成为必需 的原因。

一句话概括 DevSecOps

DevSecOps 意味着将安全直接嵌入 CI/CD 流水线并自动强制执行——而不是事后审计。
安全成为一个 门，而不是报告。

实际上 DevSecOps 改变了什么

使用 DevOps 时

• 安全性出现得较晚
• 漏洞会变成事故

使用 DevSecOps 时

• 安全性持续进行
• 漏洞会导致构建失败

这种思维方式的转变改变了一切。

实际的 DevSecOps 流水线（QA / 预生产）

范围： QA / 预生产 CI + GitOps 流水线

流水线概览

该流水线演示了 在每个阶段都强制执行安全性 —— 从代码提交到运行时验证 —— 在更改提升到生产环境之前。

流程概述

Code Commit
↓
Pre-Build Security
- Secrets Scanning (TruffleHog)
- Linting & Unit Tests
- SAST (SonarQube)
↓
Dependency & Artifact Security
- SCA (Snyk)
- OWASP Dependency Check
- Nexus Artifact Publish
↓
Container Security
- Docker Build
- Dockle Image Scan
- Secure Image Push
↓
GitOps Deployment (QA)
- ArgoCD Sync
- Kubernetes Deployment
↓
Runtime Security
- OWASP ZAP (DAST)
- Feedback via Slack

为什么这很重要

没有此流水线：

• 机密信息可能泄露到 GitHub
• 易受攻击的库可能进入生产环境
• 不安全的容器镜像可能被部署
• 安全工作变成临时抢救

使用 DevSecOps：

• 问题能够及早发现
• 修复成本更低
• 发布更可预测
• 团队能够自信地交付

在不减慢团队速度的前提下实现安全

DevSecOps 不是在添加更多工具；它是关于 在正确的时间放置正确的检查。

• 预构建检查可提前阻止不良代码
• 依赖扫描防止已知的 CVE
• 镜像扫描保障运行时环境安全
• GitOps 确保可追溯性和回滚

自动化使安全 比手动审查更快。

常见 DevSecOps 神话

DevOps 并未消亡 — 它已进化

DevOps 教会了我们速度。DevSecOps 教会了我们责任。如今，仅仅快速交付已不够。交付 安全 才是真正的标准。

安全不再是可选项——它是交付的必需要求。

GitHub 仓库

此管道中展示的完整 CI/CD 和 GitOps 实现可在此获取：

GitHub:

https://github.com/17J/GitOps-Three-Tier-Todo-App-CI

此仓库包含：

• Jenkins CI 流水线
• 安全工具集成
• 通过 ArgoCD 的 GitOps 部署
• QA / 预生产 DevSecOps 工作流

最后思考

DevSecOps 并不是关于恐惧，而是关于信心——对你部署的内容充满信心：

• 已通过测试
• 已完成扫描
• 从设计上就是安全的

在当今的云原生世界，这种信心已不再是可选的。