DevSecOps 成熟度模型使組織能夠確定他們在 DevSecOps 之旅中所處的位置,評估他們實現最終目標的進度,並確定實現目標的後續步驟。
DevSecOps 的成熟度模型應解決三個關鍵領域:
我們探討 DevSecOps 成熟度模型如何協助交付業務價值,以及模型的層級和每個模型的優勢。
DevSecOps 方法使組織能夠產生設計安全的應用程序,並將其部署到可靠的生產環境中,並解決所有脆弱性問題。這可以改善生產力和協作方面的業務成果,並為客戶可信賴的產品建立聲譽。 提升 DevSecOps 成熟度模型的各個層級會帶來以下方面的越來越多的好處:
DevSecOps 成熟度模型有四個級別,第一個代表剛開始 DevSecOps 之旅的組織的特徵,最後一個代表完全接受 DevSecOps 的組織的特徵。該等級應被視為指南,因為該過程更像是一個連續性,而不是一組嚴格的入口和退出條件。 重要的是,組織必須完成所有級別的旅程 — 如果沒有完成前面的等級,則無法達到和維持等級 4。
第 1 級是組織 DevSecOps 之旅的開始,其中團隊單獨工作,沒有充分考慮風險和安全性,大多數任務都是手動完成的,修復工作通常在啟動後進行,而且非常耗時。對於檢討哪些情況進行良好,或是什麼可以改進,幾乎沒有關注。 這裡需要改變思維,強調合作以改善成果的重要性。
第 2 級標誌著 DevSecOps 之旅的真正開始,傳統團隊界線開始模糊,創新受到歡迎。風險評估經常公開進行,並且常見的任務是部分自動化的。 由於早期檢測以及對脆弱性和配置錯誤的一些掃描,修復時間得以縮短。透過佈建自動化與擴充功能,以及基本的 DR 規劃,提升平台可用性。 瓶頸已減少,但在生命週期結束時仍然會執行大量安全工作。
Level 3 可以通過定期發布到可靠的平台上的高品質軟件產品提高生產力和效率。 在整個生命週期內嵌了全面的風險評估、威脅模型和安全性,持續合作和無罪的文化為主。 在整個開發、測試和營運過程中都存在高水準的自動化,以及支援每週發布計畫的動態脆弱性和錯誤配置掃描。
該模型的第 4 級將最先進的組織建立在上述三個層級上,以實現多個日常程式碼發行至多個可靠的生產環境。 安全性不再是特定的網域或團隊,其程序和工具在整個生命週期內嵌。 高度自動化是全面採用 DevSecOps 的標誌,威脅建模和評估、程式碼驗證、測試、程式碼掃描和部署都高度自動化。基礎設施即程式碼是人們所期望的,平台利用多個雲端服務供應商自動擴展。使用者旅程完全可見,並提供高度進化和創新的開發方法,始終提供高品質和安全性的軟體產品。
Check Point CloudGuard 為整個生命週期提供自動化安全解決方案,以支援現代應用程式開發以及 DevSecOps 的持續採用。
CloudGuard 支援您的 DevSecOps 之旅,透過設計軟體開發實現安全,為滿意的客戶建立高品質的產品。透過我們的CloudGuard Checkup了解您的組織在 DevSecOps 成熟度模型中的位置。
反映意見