作者，北京老李：PMI-ACP講師中國“黃埔一期”TTT、EXIN DevOps Master（大師級）講師(首批全國十名)、國內首批EXIN Product? Owner講師（首批全國十名）、EXIN授權EXIN Agile Scrum Master講師、首批ITIL Expert講師、 Lean IT 認證講師、PMP、Prince2專家級、EXIN云安全管理、EXIN 云服務管理、國內首批APMG 信息安全官（CISO）TTT、ISO27001 LA、ISO20000 LA等多項認證。先后在北京、上海、廣州等地主導軟件開發(fā)、系統(tǒng)集成、咨詢服務等工作，主要研究方向云安全管理、敏捷與DevOps落地實施。

1.什么是DevSecOps

DevSecOps 是一場關于 DevOps 概念實踐或藝術形式的變革。DevOps之父Patrick Debios 強調：“DevOps2.0時代應首先解決人的問題”，要學會系統(tǒng)化思考與全面思考，包括安全性、容量、連續(xù)性等內容。

DevSecOps是DevOps開發(fā)運維一體化運動的一種延伸。在開發(fā)運維中融入安全管理的實踐，實現在云計算平臺中快速、安全地進行軟件持續(xù)交付。

2.DevSecOps的價值

保障業(yè)務安全：今天很多企業(yè)的業(yè)務運行在容器中。以容器安全為例像 Symantec、McAfee、TrendMicro和其他公司都提供端到端的基于容器的安全解決方案，包括反惡意軟件、容器加固、監(jiān)控惡意網絡活動等功能。但容器和主機之間的控制，以及其他技術上的差異，使得這些產品無法支持開箱即用的容器，要求開發(fā)都必須針對容器的安全進行調整，才能保證業(yè)務的安全。

保障服務安全：DevSecOps要調整適應DevOps方法論，理解和調整安全性以適應正在制定的新流程。通過新流程保障金三角的三個部分(人、過程、技術)，保障服務的安全，需要我們在在人員、流程、技術三個內容內置安全，人員方面，在服務的過程前、過程中、過程后都應保證在基于《網安法》的前提下保障用戶的隱私、數據的安全。

在過程（流程）應通過服務流程嵌入安全流程，打通開發(fā)、測試、運維與安全的集成，并一體化，才能實現DevSecOps，保障業(yè)務服務的安全。

在工具方法實現安全檢查、安全開發(fā)、安全測試、安全運營相結合，才能實現技術上的安全，并結合服務的特點，與手機端，移動端相連接實現服務安全的保障。

保障DevOps自身的安全：DevSecOps是描述DevOps2.0的安全解決方案。云、容器和無服務器等技術是DevOps運動的關鍵。每一個都提供了新的功能并引入了新的技術棧，這些技術棧反過來又有特定的安全需求，如何保證DevOps工具鏈本身的安全也是防止被拖庫、防止信息被泄露、防止數據外泄，IT人必須做的工作之一。

3.DevSecOps是DevOps2.0的實現

????2017年10月【DevOps Handbook】針對于DevOps的定義：DevOps是一個軟件工程實踐。通過開發(fā)、質量、IT運營和信息安全人員的協作，朝著一個共同的目標努力，使技術價值流通過計劃工作快速投產用于滿足業(yè)務和組織的成功，實現每天多次部署、達到世界級的穩(wěn)定性、可靠性、可用性和安全性。并且在DevOps Master課程中進行DevSecOps管理模式進行了展開。具體管理角色如下：

DevOps Master課程中針對于安全提出了相關的管理角色CISO

DevOps Master課程中會詳細展開非功能需求的包括內容，以及如何做好DevOps中安全保證，實現DvOps2.0的美好遠景。

4.鳳凰項目沙盤實現DevSecOps

????在大型DevOps沙盤中您可以通過實踐來了解安全在DevOps中的實現?！而P凰項目》DevOps的代表作之一，是一本小說體IT管理讀物，是公認的DevOps入門第一本書。這本書從構思到成書花了將近五年以上的時間，出版之后獲得了巨大的成功。

????鳳凰項目沙盤是由歐洲著名沙盤游戲研發(fā)機構Gaming Works的創(chuàng)始人Jan Schilt聯手《鳳凰項目》的作者Gene Kim開發(fā)的同名沙盤演練課程。課程以《鳳凰項目》小說為背景，通過扮演小說中各種角色，運用 DevOps 的理念，模擬再現小說中的場景，讓參與者們直觀感受DevOps的文化精髓，加深對跨部門協同工作的理解，并建立全局視野，挽救瀕臨破產的“無極限零部件公司“。

DevOps Master課程中的鳳凰項目沙盤

????鳳凰沙盤游戲以《鳳凰項目》中的“無極限”公司所遭的困境為背景，參與游戲的角色從CFO、HR、業(yè)務、IT VP到IT Support、Change Management及書中最忙的Lead Engineer等十幾個。CFO需要從眾多項目中根據其業(yè)務價值（已轉換為$$$）選擇高價值的項目給團隊做，以滿足財務目標，扭轉公司的財務窘況。通過沙盤的體驗認您了解到真正的DevSecOps模式。在實踐沙盤中的運行模式，讓您了解到DevSecOps的的實現模式與運行方法。

DevOps Master:DevSecOps運行模式

5.DevSecOps與傳統(tǒng)安全的區(qū)別

????安全是每一個人的責任，將安全從多個點滲透到整體開發(fā)和運維的生命周期將提升交付的質量。Gartner 研究公司的分析師 David Cearley 認為，當今的 CIO 應該修改 DevOps 的定義，使之包括安全理念。他稱之為 DevSecOps，“它是糅合了開發(fā)、安全及運營理念以創(chuàng)建解決方案的全新方法”。

????Cearley 還指出，企業(yè)投資防火墻、IPS 等外圍防御系統(tǒng)本身無可厚非。但是，在塔吉特、家得寶及索尼等公司爆出的安全漏洞使其損失慘重，顯然，單純地守衛(wèi)邊界是不夠的。在 DevOps 方案中添加安全理念之后，CIO 與其團隊將不得不更加細致地考慮安全——在軟件開發(fā)過程的一開始，而不是事后，就考慮安全問題。

DevSecOps與傳統(tǒng)安全的區(qū)別

????DevSecOps作為一種理念和安全轉型，進一步與其他安全變革相協作。換句話說，無論你是不是相信安全需要被添加到開發(fā)，運營，或其他業(yè)務流程中，事實就是如此！安全需要被添加到所有業(yè)務流程中，并且需要創(chuàng)建一個專門的團隊，理解業(yè)務，使用工具來發(fā)現缺陷，持續(xù)測試，而企業(yè)經營者則需要運用科學預測做出決策。更進一步，要完成完整的變革進程，DevSecOps都需要高級管理層和董事會的參與，將信息作為業(yè)務運營的關鍵指標，在當今經濟下，在競爭日益激烈的低信任環(huán)境中，證明自己的價值。

6.?Atlassian 如何實現DevSecOps?

????Atlassian有一套全面的安全措施，確?？蛻粜畔⒌玫奖Ｗo，并提供基于安全的最可靠和安全的服務。然而，Atlassian也認識到安全事件仍然可能(而且確實)發(fā)生，所以當它們發(fā)生時，有有效的方法來處理它們同樣重要。

????因此，一個明確定義的方法來應對影響我們的服務或基礎設施的安全事件。事件響應方法包括對我們的產品和基礎設施進行全面的日志記錄和監(jiān)控，以確保我們能夠快速發(fā)現潛在的事件，并通過精心定義的流程來確保在事件發(fā)生的所有階段我們都需要做什么。這是由一支高素質的隨叫隨到事件經理團隊支持的，他們在協調有效的反應方面有豐富的經驗。還可以接觸到一系列外部專家，協助我們盡可能有效地進行調查和作出反應。

? ? ?Atlassian根據NIST 800-61計算機安全事件處理指南構建了事件管理方法，并根據Verizon VERIS框架對事件進行分類。

幾種快速檢測潛在事件的方法

? ? ?適當的監(jiān)控機制來檢測Atlassian產品和基礎設施中的故障或異常，這些故障或異常可能是潛在安全事件的指示器。如果檢測到需要進一步調查的活動，這些系統(tǒng)會立即通知用戶。通過一個聚合的日志捕獲和分析平臺，可以整理所有的相關日志，因此分析人員可以快速和徹底地進行調查，站點可靠性工程師監(jiān)控平臺，以確保它始終可用。

????還在安全信息和事件應用程序中創(chuàng)建警報，主動通知相關的團隊。通過這些渠道可能會發(fā)現漏洞或事件，包括漏洞獎勵計劃，客戶戶支持門戶，以及定義的安全電子郵件收件箱和電話號碼。為了確保事件響應過程是一致的、可重復的和有效的，定義一個明確的安全管理事件流程，涵蓋在事件響應過程的每個階段需要采取的步驟。?Atlassian已經記錄了不斷更新的劇本，其中詳細定義了我們需要采取的步驟，以有效地應對不同類型的事件。在高水平上，我們的應對框架包括:

事件檢測和分析,?Atlassian采取下列的步驟通知我們收到關于潛在事件,包括?Atlassian如何確認是否發(fā)生安全事故(以便我們減少假陽性，即誤判安全事件),通過理解攻擊向量,目標,范圍和影響Atlassian的客戶。 Atlassian將事故定義為四個嚴重級別中的一個:

0.重大的影響并且嚴重的事件(Crisis incident with maximum impact)

1.高的影響并且是嚴重的事件（Critical incident with very high impact）

2重要的影響并且是重大的事件 .(Major incident with significant impact)

3 小的影響并且是低風險（Minor incident with low impact）

通過信息安全事件的管理過程，實現信息安全事件的遏制、根除和恢復?？紤]到事件的嚴重性，Atlassian決定和實施必要的步驟來遏制事件，根除潛在的原因，并開始我們的恢復過程，以確保我們盡快恢復正常的業(yè)務。當然，Atlassian在這一階段所采取的步驟將根據事件的性質有很大的不同。在任何對Atlassian的客戶有利的情況下(或根據Atlassian的法律或合同義務的要求)，Atlassian也會就事故及其對客戶的潛在影響在事故響應過程的這一階段進行溝通。

一個健壯的事后審查過程,當每一事件解決后,Atlassian會看看發(fā)生過程中我們可以學到的經驗教訓,可以通知技術解決方案的發(fā)展,過程改進并引入額外的最佳實踐,這樣Atlassian可以繼續(xù)為客戶提供最好的體驗。

Atlassian如何使用自己的工具來管理安全事件

Atlassian使用自己的許多產品的特殊配置版本，以幫助確保我們能夠盡可能有條理、一致和動態(tài)地處理事件。這些包括:

Confluence:我們使用Confluence在一個中心位置協同創(chuàng)建、記錄和更新我們的事件響應流程，確保這些流程被分發(fā)給所有員工，并能夠根據過去事件的經驗教訓迅速更新。Atlassian也用Confluence來記錄我們的劇本和狩獵（playing and hunting）。

Jira :我們使用Jira來創(chuàng)建處理可疑事件的初始調查的工單，如果Atlassian的初始調查確認發(fā)生了事件，就可以方便和跟蹤Atlassian的反應過程。這些工單幫助我們收集關于事件的信息，制定解決方案，并執(zhí)行其他后勤工作(例如將任務作為響應過程的一部分，并在必要時聯系公司內的其他團隊，包括安全團隊、風險團隊、法律團隊)。我們還使用Jira來跟蹤我們執(zhí)行的狩獵（hunting），以及每次狩獵（hunting）的成功或失敗。

Bitbucket：Atlassian使用Bitbucket作為源代碼控制工具，當Atlassian開發(fā)基于代碼的解決方案，以解決特定類型的事件。Atlassian開發(fā)的解決方案可以在內部協作并進行測試，同時保持私有并在必要時促進快速迭代。還將Bitbucket與持續(xù)集成/持續(xù)交付計劃結合使用，推出代碼來幫助減輕事故的原因，或幫助檢測或預防未來的事故。

最終，這些工具的使用幫助Atlassian建立一個響應框架，確保事件，無論類型，都開始有一定的結構和熟悉程度，以便我們能夠盡快找到解決方案。

7.? 定制DevOps Master課程

廣告：聽課程，選老師，北京老李是你的選擇之一，歡迎定制北京老李的DevOps Master課程，滿足你個性的DevSecOps安全需求：）

北京老李：DevSecOps是DevOps2.0的實現

8.爬樓

如何一次通過系列:

如何一次通過DevOps Foundation考試 https://www.douban.com/note/759867840/

如何一次通過DevOps Master考試 https://www.douban.com/note/660291760/?

如何一次通過PMI-ACP? https://www.douban.com/note/720287998/

如何一次通過EXIN Scrum Foundation https://www.douban.com/note/769868855/

如何一次通過EXIN Scrum Master? https://www.douban.com/note/722250431/?

如何一次通過APMG ISO/IEC20000:2018版 LA? https://www.douban.com/note/762608725/

如何一次通過CCSK4.0（網盤下載CCSK4.0，送DevSecOps宣言中文翻譯版）? https://www.douban.com/note/764185464/

如何一次通過EXIN CCC云服務管理專家認證? https://www.douban.com/note/762735674/

2020年2月EXIN DevOps及敏捷前置要求與學習路徑推薦 https://www.douban.com/note/752263618

DevOps Master課程：DevOps Master教練十二條原則 https://www.douban.com/note/718124778/

DevOps Master課程：DevOps Master教練的三個層次 https://www.douban.com/note/719145305/

DevOps Master課程：招聘DevOps工程師必問的12個問題（送DevOps實現的三個路徑） 相關主題 https://www.douban.com/note/709308373/ DevOps Master ：

敏捷項目管理ACP中國“黃埔一期”? https://www.douban.com/note/728728754/?

敏捷項目管理課程：建立持續(xù)改進的個人看板? https://www.douban.com/note/745245657/

DevOps Master系列:再論DevOps核心原則CALMS https://www.douban.com/note/731775271/

DevOps Master系列:如何把DevOps與CMMI整合? https://www.douban.com/note/759766513/

https://www.douban.com/note/713613037/? DevOps professional課程：只講技術之CHEF（1）

https://www.douban.com/note/708968150/ DevOps Master課程總結：知否知否，應是DevOps肥ITIL瘦（送ITIL4前生今世）

https://www.douban.com/note/708218842/? DevOps Master課程總結：學習沒有捷徑（送DevOps安燈正確方法）

https://www.douban.com/note/694641377/ DevOps Master鳳凰項目沙盤總結：DevOps黃金三步法

https://www.douban.com/note/700603657/ DevOps Master鳳凰項目沙盤總結：履霜堅冰至，轉型應自強不息

https://www.douban.com/note/693053178/ DevOps Master鳳凰項目沙盤總結：通過DevOps實現IT組織轉型

https://www.douban.com/note/689504940/ DevOps Master鳳凰項目沙盤總結：DevOps起始質量之獨孤九劍

https://www.douban.com/note/645016138/ DevOps鳳凰沙盤：一場精益敏捷探索之行

https://www.douban.com/note/629890513/DevOps鳳凰沙盤：一場百玩不厭的質量感悟

https://www.douban.com/note/630638887/DevOps課后總結之DevOps游戲系列-DevOps的獨孤九劍

https://www.douban.com/note/637665261/DevOps Master課程:回憶我與DevOps之父Patrick的交流

https://www.douban.com/note/647732431/ DevOps：10本DevOps推薦書及47個DevOps兼容工具

https://www.douban.com/note/647732431/ DevOps：10本DevOps推薦書及47個DevOps兼容工具

https://book.douban.com/review/9110485/ DevOps：轉型從正確地認知開始

https://www.douban.com/note/651734552/ DevOps：從I型人才到E型人才

https://www.douban.com/note/651734953/ DevOps：智能服務臺是企業(yè)不能缺少的基石

https://book.douban.com/review/8928323/ DevOps布道師:終身學習是終身成長的源動力

https://book.douban.com/review/8820627/ 《把讀到的知識轉化為能力三步法及完美學習的四步法》

https://www.douban.com/note/643862694/ DevOps Master課程:腳踏實地學Pre-Master，一步一個腳印成為DevOps Master

https://book.douban.com/review/8805640/ DevOps布道師為深度工作寫的序：深度工作是心身的一種修練方法

https://book.douban.com/review/8795275/ 咨詢基本功：咨詢顧問基本功之書面溝通及“補充大餐”

https://www.douban.com/note/643251358/ DevOps定義編年史：通過DevOps定義看DevOps發(fā)展

https://www.douban.com/note/637838681/ DevOps應用：光大銀行DevOps1.0到DevOps2.0研會

https://www.douban.com/note/639093367/ DevOps應用：民生銀行IT一體化管理與自動化發(fā)展（1）

https://www.douban.com/note/638965340/ DevOps應用：工商銀行DevOps進行時

DevOps Master課程：事半功倍的系統(tǒng)化學習? https://www.douban.com/note/717180422/

https://www.douban.com/note/696842302/ DevOps應用：工商銀行DevOps進行時（2018年）

https://www.douban.com/note/722820106/? DevOps Master課程：微軟 DevOps的成功之路（送中行DevOps三架馬車）

https://www.douban.com/note/641427886/ DevOps應用：DevSecOps云下安全與云等保（云博會內容提前曝光）

敏捷項目管理沙盤：一場隨需而變的深度體驗（1）https://www.douban.com/note/629584594/

站在IT治理Cobit2019角度看DevOps成熟度（COBIT可申請10PDU）? https://www.douban.com/note/729309727/

https://www.douban.com/note/646007197/ 敏捷辯論

https://www.douban.com/note/655617439/ 敏捷服務管理：數字化轉型核心

https://www.douban.com/note/696148785/ DevOps Master課程總結：IT運維的昨天、今天、明天（IT運維四大“坑”）

DevOps Master：如何一次通過DevOps Master考試 https://www.douban.com/note/660291760/?

DevOps Master:課程總結之變更與DevOps集成? https://www.douban.com/note/660466481/

咨詢基本功系列課程

咨詢基本功系列第一講：把讀到的知識轉化為能力三步法及完美學習的四步法? https://book.douban.com/review/8820627/

咨詢基本功系列第二講：顯見是心與學會提問? https://book.douban.com/review/8709052/

咨詢基本功系列第三講：顯見不動與信念 https://book.douban.com/review/8524974/

咨詢基本功系列第四講：顯見不失與學會講故事? https://book.douban.com/review/8909761/

咨詢基本功系列第五講：顯見無雜與溝通的藝術 https://book.douban.com/review/8573156/

咨詢基本功系列第六講：見性惟真與書面溝通七步法? https://book.douban.com/review/8795275/

咨詢基本功系列第七講：見性無礙與故事思維 https://book.douban.com/review/8471462/

咨詢基本功系列第八講：顯見不分與溝通圣經? https://book.douban.com/review/8550605/

咨詢基本功系列第九講：見性超情與深度工作? https://book.douban.com/review/8641784/

咨詢基本功系列第十講：見性離見與完美咨詢? https://book.douban.com/review/12493989/

咨詢的基本套路、IT咨詢基本方法內訓課程，歡迎大家收看，收聽，收獲到咨詢的基本功：）

敏捷服務管理系列：如何正確理解ITIL4? https://www.douban.com/note/763416570/

DevOps沙盤總結系列課程

DevOps Master鳳凰項目沙盤總結：IT涅槃重生之路 https://www.douban.com/note/681066663/

DevOps Master鳳凰項目沙盤總結：“IT業(yè)務一體化”驅動業(yè)務價值? https://www.douban.com/note/662925305/

DevOps Master鳳凰項目沙盤總結：高維度系統(tǒng)化思考? https://www.douban.com/note/703020201/

DevOps Master鳳凰項目沙盤總結：履霜堅冰至，轉型應自強不息? https://www.douban.com/note/700603657/

DevOps Master鳳凰項目沙盤總結：一場精益敏捷探索之行 https://www.douban.com/note/645016138/

DevOps Master鳳凰項目沙盤總結：通過DevOps實現IT組織轉型 https://www.douban.com/note/693053178/

DevOps Master鳳凰項目沙盤總結：DevOps黃金三步法 https://www.douban.com/note/694641377/

DevOps Master鳳凰項目沙盤總結：DevOps起始質量之獨孤九劍? https://www.douban.com/note/689504940/

DevOps Master鳳凰項目沙盤總結：一場百玩不厭的質量感悟 https://www.douban.com/note/629890513/

DevOps Master鳳凰項目沙盤總結：DevOps的獨孤九劍 https://www.douban.com/note/630638887/

DevOps Master鳳凰項目沙盤總結：同理心是DevOps成功關鍵 https://www.douban.com/note/685838159/

DevOps Master鳳凰項目沙盤總結：做最有價值的事? https://www.douban.com/note/681074230/

艾利·高德拉特? “在瓶頸之外的任何地方作出的改進都是假象，在瓶頸之后作出任何改進都是徒勞的，而在瓶頸之前作出的任何改進則只會導致瓶頸處堆積更多的庫存?！?/p>

【1】精益管理方法的術語

【2】高維度思考法

【附】高德拉特《目標》五個聚焦步驟：

第一步是確認約束點，直到確定那的確是整個部門層面的約束點，對非約束點的任何改進都只是幻覺，得不到實際任何價值；

第二步是利用約束點，尋找突破這些約束的辦法，確保不讓約束點浪費任何時間，永遠不要讓約束點遷就別的資源而干等著，而是應該專注于IT運維部對當前所需完成工作中優(yōu)先級最高的那一項，一直都要這樣；

第三步，使企業(yè)或部門的所有其它活動服從于第二步中提出的各種措施；

第四步，具體實施第二步中提出的措施，使第一步中找出的約束環(huán)節(jié)不再是整個部門的約束點；

第五步，回到步驟1，別讓惰性成為約束，持續(xù)不斷地改善；