DevOps如何帮助加强软件质量

日期: 2015-05-26 作者:George Lawton翻译:崔靖雯 来源:TechTarget中国 英文

业界领先企业正在尝试DevOps理念,该理念基于开发和运维团队之间更为有效的交流。这些实践经验可以加速功能版本的开发,但是也可能会增加软件的漏洞。Dell软件实现了软件供应链质量基础架构,这样的架构的确有助于降低风险,David Mortman在RSA安全大会上说,他是Dell软件的首席安全架构师。

Mortman说,质量差的软件更容易遭到攻击,因为企业花最少的钱来保护它。据统计,企业每年总计会花2亿美元在网络安全上,1亿美元在主机安全,5000万美元在数据安全,但是只有500万美元花在软件供应链安全上。

创建敏捷流程

Dell已经完成了向敏捷软件开发的转型,这彻底改变了软件产品发布的方式。它将设计,开发和测试阶段混合到一起,在更短的间隔内发布更多的版本。但是当软件在等待部署到生产环境时,又会有新问题出现。引入持续集成后,Dell终于能够更快地将软件发布到生产环境上。

Mortmain说这只是DevOps的开始,不仅可以解决开发问题,还可以解决如何更快将软件发布到生产环境的问题。它将设计/开发/测试环节扩展到部署环节。反过来,更快地部署帮助Dell赚到更多的利润并且更加高效。Dell现在每天要做2000多次部署。但是DevOps理念并不仅限于发布版本,它也有关于安全、功能和市场,Mortmain说。

装配软件需要合格的供应链

现有代码的组装要比从头重写代码更有效率,Mortman观察到。使用第三方代码意味着开发人员只需要花费一点时间重新配置已有库就可以完成很多工作,而不需要重新发明轮子。这样做的缺点是,对Dell而言风险可能更大了,因为很多新代码被部署到生产环境前并没有进行全面的安全分析。因此,业界领先企业,比如Kanban,采用了很多与制造企业相同,由William Deming引入的供应链原则,比如Lean以及现在的DevOps方法。

医药和自动化行业创建了成熟的供应链审计和跟踪基础架构,帮助企业确保其产品不会造成伤害。这些系统也帮助企业管理和供应商的互信互利关系,并且提供跟踪机制,可以在错误发生时召回产品。

这对于软件开发也至关重要,因为很多企业都进入了物联网领域,这些产品有可能会对消费者造成伤害,Mortman说。在软件领域,开发人员可能会做错事但是又不留下痕迹,Mortman补充道。当Mortman在Dell公司开始软件审计时,他在代码库里发现了198个已知的执行问题,这些问题可能会给公司带来风险。

将安全思想融入到装配线上

企业需要将两个关键元素融入到软件供应流程里来确保生产环境软件的安全性。第一点,需要确保开发人员没有把带有已知安全漏洞的库装载到应用程序里。第二点,需要能够在新的安全问题发现时去审计生产环境软件。

软件程序库一般会包含给定软件的很多版本。开发人员通常都会使用最新版本,因为最新版本一般而言质量更高,问题更少。但是有时候新版本会有一些新的安全性问题。比如,Spring框架的85版本就有已知的安全漏洞,Joshua Corman说,他是Sonatype的CTO,Sonatype是一家安全软件供应链工具提供商。

另外,要是某个被广泛使用的库有安全隐患,安全研究员就会有很大的麻烦。几乎所有公司都受到了Heartbleed漏洞的影响,这个漏洞存在于用于认证网页的TLS系统里。受影响的企业必须火速更新各自的软件,重新生成或者替换所有安全证书。之前还在Bash和Apache Struts里发现过影响重大的安全漏洞。

Dell使用其软件供应链工具可以在五分钟内找到受Heartbleed漏洞影响的地方,Mortman说。再用五分钟就可以全部打上补丁。而其他企业则要花费六个月来定位和修补该漏洞。Mortman说,这样的危害太大,所以国会曾经提议过网络供应链管理和透明度法案。该法案要求软件供应商和SaaS厂商审计并且报告其软件供应链上可能影响美国政府客户的漏洞。

标准化软件库

Mortman说企业也必须考虑标准化并且在其软件基础架构上减少库的数量。比如,他指出通用电器曾经花费大量资源来降低其涡轮机和风车上的螺栓。这样做让事情更容易管理,确保能够实现更好的质量控制,降低了技术人员不小心用错螺栓的风险。如果所有服务器都用相同的方法部署,那么在某个服务器上发现一个问题就会有助于检验其他服务器的问题。

有听众问是否更快节奏的版本发布会让有不满情绪的员工乘机留下恶意后门。自动供应链审计工具只能跟踪被安全领域广泛使用的公开库。Mortman认为好的DevOps流程必须能够使用自动工具来帮助跟踪变更以及更新文档。DevOps是关于变更管理,流程和记录这些流程的过程,他解释道。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

相关推荐

  • 如何减少不必要云服务成本

    由于初始成本相对较低,业务经理有时候可控制自己的云预算,但这既是好事也是坏事。 企业可以不受IT干扰,但业务经 […]

  • “以建应变”:敏捷+DevOps驱动数字化转型

    数字化转型由软件驱动。如今在数字化转型中,交付软件实际上处于每一个业务的核心,这一软件趋势也正好与CA Technologies一直强调的应用经济相一致。

  • AWS实现DevOps:思维与工具集并重

    开发与运营(即DevOps)模式让IT团队能够以比传统部署方法更快的速度来发布应用程序。很多企业已经依赖AWS用作云平台以提高敏捷性、降低成本支出以及减少用于生产应用程序的时间。

  • ”用好云“:企业如何最大化云计算价值?

    无论是个人,还是企业都已经感受了云技术所带来的便利,享受到了云计算带来的成本节约。但是,在企业普遍认可、应用云计算的时刻,我不禁要问一句”你真用好云了吗?