安全人人有责 - 第一部分 - DevSecOps

这是关于DevSecOps主题的系列博客文章的第一篇。在本系列文章中，我们将探讨如何以高效的方式将安全融入DevOps流程。我们还将讨论以下理念：安全是每个人的责任，每个人都有义务以自己所知的最安全的方式完成工作，而安全团队的职责是确保组织中的其他成员能够安全地完成工作。我们将定义DevOps、“三大路径”、应用安全（AppSec）和DevSecOps。我们将深入探讨如何在DevOps环境中调整安全活动，同时确保我们能够可靠地创建和发布安全软件。

总而言之，我们将探讨如何将安全融入日常工作中。安全不能事后添加，而必须贯穿所有环节。 

但我们先别操之过急，我还有很多文章计划发表，试图说服你们接受我的观点。

Tanya Janca（又名SheHacksPurple）于 2019 年在澳大利亚悉尼展示她的创意。艺术作品由才华横溢的Ashley Willis创作。

本系列文章的主要内容将公开免费阅读，但子文章和链接可能需要付费才能访问SheHacksPurple.dev 网站。如果您觉得本系列文章对您有所帮助，请考虑支付 7 美元的订阅费（相当于一杯高档拿铁的价格）来支持作者。

在深入探讨之前，我想先澄清一些误解。请看下图。这是部分安全专家对 DevOps 的理解。（幻灯片来源：Pete Cheslock）

这张幻灯片的作者Pete Cheslock才华横溢、经验丰富，我提及他绝无冒犯之意。这张幻灯片是对社会现象的评论，并非字面意义上的陈述。话虽如此，我遇到的许多人确实持有这种观点：DevOps 工程师到处乱搞，制造安全漏洞，而我们（安全专业人员）却只能收拾残局。我并不认同这种观点。

幸运的是，我在DevSecCon大会上第一次接触到DevOps ，并看到了这张图。图中可以看到安全团队正在提供培训、工具，并赋能那些神奇的DevOps精英们安全地完成工作。这就是我对DevOps的理解：安全团队赋能所有人，让他们在其他团队使用的流程和系统框架内开展工作。

本系列内容大致基于我曾在全球各地无数次活动中发表的演讲“安全人人有责”。您可以在下方观看视频，或点击此处在 YouTube 上观看。

在第二篇文章中，我们将讨论什么是应用程序安全以及为什么它对我们的行业来说是一个问题。

—
想了解更多，请查看我的书《Alice and Bob Learn Application Security》和我的在线培训学院We Hack Purple！