编者按：这是一篇来自WhiteSource的客座博客文章软件。詹金斯在过去的十年里，他是DevOps运动的推动者之一，使组织更容易采用作为DevOps核心的持续集成和持续交付/部署（CI/CD）技术型号.CI/CD因为它使组织能够频繁和可预测地运送高质量的产品，所以越来越受欢迎。然而，人们普遍认识到，这一自动化过程需要得到加强，以检测代码。The对于许多迁移到DevOps的组织来说，问题是如何确保代码的安全性，同时又不丧失从新版本中获得的速度优势自动化制造迁移到DevSecOps听起来对组织来说是一个挑战，但随着对更好的安全标准的需求在整个工业。看在实地，各组织似乎面临两大挑战。第一个是用于构建产品的工具，而第二个则更多的是一种文化差距。缺乏DevOpsLandCI/CD工具（如Jenkins）中的安全工具标准化，负责代码的构建、配置、部署、测试和报告。问题是缺乏一个标准化的安全模型来确保代码的安全，而不妨碍代码的发布，尤其是如果我们正在寻找更多的方法来自动保护代码的话受保护的在这一点上，许多组织可能在代码到达构建之前有一个安全层，这可以帮助捕获提前发布。当涉及到Jenkins用户时，有很多优秀的第三方工具和插件可以在不同的阶段提供安全性，但很少有贯穿始终。但是，作为遵循安全SDLC模型的一部分，您需要确保在流程的所有阶段都实现了安全检查。这些安全测试也应该在发布后进行，考虑到这样一个事实，即在您的产品上市之后，总是会发现新的漏洞，当黑客意识到您在产品。什么时候安全性发现了一个新的漏洞研究人员发布到社区可用的许多数据库和咨询中的一个，黑客可以利用一个已知的漏洞进行多次攻击。这是因为流行的开源组件（可重用代码）正被用于数千种产品中，这为黑客提供了充分的机会，使他们能够在公开的基础上轻松获得报酬信息。It有必要定义一个组织可以采用的模型来实现DevSecOps。例如，组织应该工具：静态分析安全测试（SAST）。静态分析可以在不运行代码的情况下检测安全漏洞，因此成本低、速度快检查。动态分析安全测试（DAST）。与SAST不同，动态分析需要部署和执行代码。这是至关重要的，因为这些用例更接近攻击者如何渗透我们的代码。软件成分分析（SCA）。这些工具会自动检测软件中的开源组件，并在安全性和合规性方面发出警报问题。容器安全。容器现在很流行，需要像运行在集装箱。很受欢迎SAST的工具包括Coverity，DAST的工具包括OWASP-ZAP。两者都可以与Jenkins集成，从而提高通过Jenkins管道传送代码的可信度。Jenkins和Jenkins X都允许用户通过选择安全工具进行控制信任。那个使用CloudBees Core（Jenkins的企业版）对于大规模实施安全策略和治理至关重要。通过跨团队和项目提供企业级安全管理，您可以跨团队实施基于角色的访问控制（RBAC），管理安全工具，允许批准的管道集成，并实施"安全最佳"练习。为了在更敏感的行业工作，要求他们遵守HIPAA等法规，或者是众多金融标准中的一个，可能已经有了一套被认可的工具。把每个人都带到同一个页面上可能是一个挑战，这是在将人类元素引入拍照。拍照关于开发和运营之间的摩擦，在许多公司中，我们看到了开发商之间的摩擦，安全和操作专业人员，容易理解但很难理解下决心。甚至成功地采用正确的工具向DevSecOps过渡的组织在获得发展时可能会面临挑战，安全和行动合作。同时没有开发人员希望发布包含可被利用的已知漏洞的代码，安全性并不是他们的首要任务。他们的意图是好的，但可能会被严格的期限误导。安全是每个人的工作，就像质量一样。然而，为了提高责任感，建立了安全团队，他们的首要任务是保证产品和业务的安全。如果这意味着错过了发布的最后期限，那也是它。一个该学派认为，这种健康的紧张关系促使双方尽最大努力推出安全、高质量的产品。另一种观点认为，这会通过创建两个部门来加剧筒仓行为。有几个基本的想法可以用来弥补这种"文化鸿沟"。就像在任何外交斗争中，大使花时间了解他们的"对手"可以帮助双方建立更好的沟通。我们现在看到，在一些组织中，他们通过向安全团队中添加开发人员来进行文化交流，反之亦然。希望是，通过从另一个角度看事情，他们将开始理解彼此的关切，并开发使DevSecOps成为现实的过程。到目前为止，对这种方法的反应一般是积极。小我们可能会看到一个真正的DevSecOps专业人士的出现——如果速度更快的话，我们也许会在实验室里培养他们——但是这种进化，就像之前的进化一样，可能需要时间时间。直到然后，我们的最佳选择可能来自于采用更好的自动化工具，在SDLC的所有阶段执行必要的安全检查，并真诚地努力建立跨团队。参观DevOps World | Jenkins World在旧金山，想了解更多关于如何更有效地实现DevSecOps的信息？顺便参观一下122号展台的WhiteSource Security，并在赞助商剧院聆听他们15分钟的解决方案。使用他们的折扣代码JWWHISOUCUST为您的通行证打八折。