在 DevOps协作框架下,安全防护是整个 IT 团队的共同责任,需要贯穿至整个生命周期的每一个环节。
DevSecOps 强调在 DevOps 计划刚启动时就要邀请安全团队来确保信息的安全性,并制定自动安全防护计划,实现持续 IT 防护。它还强调,要帮助开发人员从代码层面确保安全性;在这个过程中,安全团队需要针对已知的威胁共享掌握的全局信息、提供反馈并进行智能分析。
对于DevOps安全防护,可以看到从最早的代码安全性检测,漏洞扫描,代码规范性检查等,已经发展到了和容器云平台的安全融合,即很多容器云安全的内容也可以内置到整个DevOps流水线设计中,尽量在前期的开发和测试阶段就发现相应的安全性问题并有针对性的解决。
进一步和ServerLess和低代码开发融合
在前面讲DevOps的时候曾经谈到过,一个应用开发本身涉及到了数据库和应用中间件两个部分的内容,实际在当前大部分的DevOps中都不能很好的实现数据库本身的自动化部署和弹性扩展。
数据库本身还对应的是资源层能力,而部署包对应的是PaaS服务层能力。
要完全地实现DevOps,就需要所有应用涉及到的基础能力都由资源层转移到服务层,不是使用资源,而是使用技术服务。类似我们谈ServerLess的时候也在谈,只有当底层的BaaS服务能力足够强大的时候,上层应用才是能够实现低代码开发。
因此在ServerLess和低代码平台发展过程中,完全可以和DevOps持续集成和交付过程融合。简单来说就是:
首先提供一个基础的平台层能力和共性的业务平台,但是本身这个平台是开放的,所有能力都通过API服务的方式暴露出来,上层应用可以基于服务快速的开发,在开发完成后,整个编译构建,打包部署过程完全的自动化。即整个开发过程实现自动化的交付能力。
如果整个开发IDE环境都不在桌面端,那么整个过程就可以完全在云端实现基于低代码开发思路下的完整持续集成和持续交付过程。
欢迎@人月聊IT, 分享云原生,微服务,数字化转型,思维类文章。公众号同名,周一,三,五更新。网上无法下载需要改报告的也可以后给我私信。
