iT邦幫忙

2025 iThome 鐵人賽

DAY 22
0
DevOps

DevOps 進化論:從全能型戰士到安全守門員系列 第 22

Day 22|DevSecOps 是什麼?從 DevOps 到安全左移

  • 分享至 

  • xImage
  •  

●前言

在 DevOps 強調快速迭代與持續交付的時代,安全往往被視為最後一道關卡。
但隨著攻擊手法演進,傳統「先開發、再測試、最後才安檢」的模式已經無法因應。
DevSecOps 的誕生,正是為了把安全性「往前移」──在開發與部署的過程中就內建安全檢查,讓速度與安全可以並行。


●定義

DevOps 結合了開發 (Dev) 和維運 (Ops),涵蓋 CICD、雲端、監控和日誌 等四個區塊。
Sec 代表 Security (安全),DevSecOps 的核心定義是:
將安全檢查「整合」進開發和維運流程

這與傳統「開發 → 部署 → 安檢」的方式不同。傳統方法常常導致安全漏洞發現太晚,增加修復成本與風險。

  • DevOps vs DevSecOps 流程對比圖:
    https://ithelp.ithome.com.tw/upload/images/20250904/20178156uQNBb8fLV6.png

●核心概念

  1. 速度與安全性並重 (Speed and Security)
    DevSecOps 的目標是在交付過程中同時兼顧速度與安全。

  2. 安全左移 (Shift Left Security)
    在開發初期就導入安全檢查,讓問題在 程式碼提交或單元測試 階段就被發現。

  3. 全程安全測試 (Security Testing)
    在整個開發生命週期進行安全性測試,確保應用程式與基礎設施安全。

  • DevSecOps 全生命週期整合圖:
    https://ithelp.ithome.com.tw/upload/images/20250904/20178156KCuhCX0Jfp.png
  1. 自動化 (Automation)
    自動化安全掃描、測試與部署,提高效率與一致性。

  2. 易於實現的安全 (Easy and Secure Modification)
    讓安全實踐不成為阻礙,而是自然融入日常流程。


●相關技術與工具

  • 迷你測試 (Mini Tests)
    在開發過程中進行小規模、頻繁的測試,及早發現漏洞。

  • 多層次安全工具 (Security Tools for More Levels)

    • SAST(靜態應用程式安全測試)
    • DAST(動態應用程式安全測試)
    • SCA(軟體組成分析)
      這些工具幫助團隊識別潛在問題,並提供保護。
  • 多層次安全工具圖:
    https://ithelp.ithome.com.tw/upload/images/20250904/20178156p7BMtPwWrr.png

●總結

DevSecOps 的核心在於 速度與安全並行
它不是要讓開發放慢腳步,而是透過 自動化測試與安全左移,把安全性自然地融入 CICD。

當安全成為流程的一部分,團隊就能降低風險、維持快速交付,真正實現 安全即程式碼 (Security as Code) 的精神。


👉 下一篇 : Day 23|Shift Left 實務


上一篇
Day 21|第一階段總結 × 資源調校:Requests/Limits + 效能測試
下一篇
Day 23|Shift Left 實務:在開發流程中落實安全的第一步
系列文
DevOps 進化論:從全能型戰士到安全守門員24
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言