为什么选择红帽来实现 DevSecOps？

许多企业在实施 DevSecOps 时只关注应用管道，但还有其他一些方面也需要考虑到位。红帽® DevSecOps 解决方案不仅能够帮助企业在容器化环境中实施应用管道，还能帮助他们在传统环境和容器化环境中使用 DevSecOps 实践构建、部署和运行应用，从而在应用和基础架构生命周期中尽早解决安全问题和漏洞。

红帽及安全合作伙伴的生态系统能够提供全面的 DevSecOps 方法，帮助企业在保证安全的同时持续创新。凭借深厚的专业知识和能力，我们可以提供强大的产品组合，帮助企业跨开放混合云构建、部署和运行安全为主的应用，推进其 DevSecOps 进程。

DevSecOps 是一种综合性的文化转型，尤其是 DevOps 工具和广泛的 DevOps 流程在不断发展和改进。凭借支持 DevSecOps 的软件安全防护和技术，使企业可以大规模地实现 DevSecOps，利用容器、Kubernetes 和公共云服务等技术开发现代应用。

开发和运维团队必须从一开始就将信息安全（包括容器安全和 Kubernetes 安全防护）整合到应用和基础架构生命周期中。团队成员需要保护关键的 IT 基础架构，开发和运行注重安全防护的应用，保护机密数据，并紧跟 IT 领域的发展。

DevSecOps 可帮助 IT 和安全团队解决跨人员、流程和技术的安全问题，从而提升速度和效率，提高安全性，增强一致性、可重复性并促进协作。具体而言，DevSecOps 有以下好处：

• 提高安全性并将风险降至最低：在应用开发和基础架构生命周期的早期阶段消除更多安全漏洞，从而减少潜在的生产问题。
• 提高 DevOps 发布周期的效率和速度：放弃过时的安全实践和工具，通过自动化、工具链标准化以及实施基础架构即代码、安全即代码和合规即代码，保障可重复性和一致性，从而改进开发过程。
• 降低风险，提高可见性：在应用开发和基础架构生命周期的早期阶段实施安全措施，以减少人为错误，并提高安全性、合规性、可预测性和可重复性，同时减少审核问题。

成功的 DevSecOps 始于应用管道开始之前。首先，组织应确保其应用和基础架构运行于具有内置安全工具和功能的软件上。此外，应在整个组织内实施一致的自动化战略，从而更好地掌控其环境，这是 DevSecOps 流程的关键要素。

自动化可以帮助组织开发安全为主的应用，并在开发和基础架构生命周期的早期采用 DevSecOps 实践。

大多数企业在实施 DevSecOps 时只关注应用管道，但还有其他一些方面也需要考虑到位。红帽和安全合作伙伴的生态系统可以帮助这些企业，在传统环境和容器化环境中使用 DevSecOps 实践来设计、构建、部署和运行安全为主的应用。

无论客户处于 DevSecOps 之旅的哪个阶段，我们都可以提供帮助。客户可以使用下方 DevSecOps 成熟度模型，衡量自己的 DevSecOps 实施进度：

• 初级：从创建应用到部署应用，一切操作均为手动完成。应用开发、基础架构、IT 运维以及安全团队基本上各自为政，几乎没有任何跨团队协作。
• 中级：实现了某类工具链标准化，从而能够在整个组织内利用自动化，以一致的方式完成基础架构即代码、安全即代码和合规即代码等任务。
• 高级：实现了基础架构和应用开发自动化，并且组织正在努力改进流程（包括开发流程），扩展其现有自动化，以及使用容器、Kubernetes 和公共云服务等技术大规模实施 DevSecOps。组织已开始在动态环境中大规模部署应用，采用先进的部署技术、自助服务和自动扩展持续交付软件。
• 专家级：组织已实现在云原生环境中，一切皆以应用程序编程接口（API）优先的水平。组织正在评估或使用无服务器和微服务等技术模型，并利用人工智能和机器学习在安全测试和应用开发方面做出决策。

我们在开源产品组合中内置的安全功能使开发人员、架构师、IT 运维和安全团队更容易在应用开发和基础架构生命周期的早期实施分层安全和 DevSecOps 堆栈。以下是我们实现此目标的几种方法。

DevSecOps 的基础安全防护

我们通过红帽企业 Linux®（RHEL）提供基础安全防护，企业可以通过 RHEL 在裸机、虚拟、容器和云环境之间以一致的方式运行现有应用和云原生应用。RHEL 可以提供重要的安全隔离技术、强大的加密、身份和访问权限管理、软件供应链安全，以及 DevSecOps 工作流所需的独立验证的安全认证。

在 RHEL 上运行的开源技术，如红帽 OpenSHIFT®、红帽 OpenStack® 平台和红帽数据服务，沿袭了基础 RHEL 提供的安全优势。

通过 IT 自动化实现工作流和流程的标准化

截然不同的 DevSecOps 工具、实践和流程会影响协作、可见性和生产力，同时有可能增加人为错误。生命周期运维的自动化能让团队有机会创建一致且可重复的流程、工作流和框架，从而简化软件开发、IT 基础架构和安全团队之间的互动。

红帽 Ansible® 自动化平台使用单一的人类可读语言，提供一个统一的用户友好型自动化基础，从而促进企业 IT 环境所有方面（包括应用、安全、网络和基础架构）的协作、透明度和一致性。

使用容器、Kubernetes 和应用服务大规模采用 DevSecOps

OpenShift 允许企业大规模构建、部署、运行和管理安全为主的云原生应用。具体而言，OpenShift 平台 Plus 除了核心平台外，还包括红帽 Kubernetes 高级集群安全防护、红帽 Kubernetes 高级集群管理和红帽 Quay。

这些技术使企业能够将安全检查融入至持续集成/持续交付（CI/CD）管道，为开发人员提供现有工作流中的自动防护，保护工作负载和 Kubernetes 基础架构，防止出现错误配置和不合规情形，并实现运行时威胁检测和响应。

OpenShift 平台 Plus 围绕全栈自动化安全和运维构建，确保所有环境都能享有一致的体验。经过优化后，它有助于提高开发人员的生产效率，促进开发流程，同时确保整个软件供应链注重安全，且符合法规。运维、开发和安全团队使用 OpenShift 平台 Plus 可以更高效地协同工作，从开发到生产，将构思变成现实，推动现代云原生应用开发。

OpenShift 包含的红帽 OpenShift 内容、管道和 GitOps 为在 OpenShift 上运行源代码构建和应用打包提供了必要组件。它还可提供灵活框架，以便将安全防护相关任务插入 CI/CD 管道中。

红帽应用服务可以提供一系列开箱即用的安全功能，例如，行业标准协议（如 OAuth/OpenID、JWT 令牌）、单点登录（SSO）和身份管理、基于角色的访问控制（RBAC）、集群身份验证以及集群内加密。 

红帽 CodeReady Workspaces 可提供通过 OpenShift 安全功能实现的限制性托管开发人员工作区，将源代码和环境脱离本地计算机。此外，IT 团队现在可以控制开发团队构建应用所用的工具和容器镜像。在许多情况下，团队可以将在生产环境中运行应用的同样的容器镜像用于开发，从端到端实施组织的安全标准。

红帽 CodeReady 依赖项分析可帮助开发人员在应用开发生命周期的早期发现依赖项的问题，并通过相应的安全更新升级至推荐的软件包。这得益于我们与 Snyk 合作针对 Java、JavaScript、Python 和 Go 编程语言提供的依赖项扫描。

我们的安全合作伙伴生态系统能帮助客户使用 DevSecOps 实践扩展和增强其保护其应用和基础架构的能力。我们的产品和服务与该生态系统结合后，客户可以解决如下关键安全挑战：

• 合规与治理
• 身份和访问权限管理
• 漏洞和配置管理
• 平台安全防护
• 网络控制
• 数据控制
• 安全控制
• 运行时分析和保护
• 记录和监控
• 修复

红帽服务可以帮助您将技术投资转化为可衡量、有意义的业务成果。从文化和业务流程到培训和认证，我们可以帮助您顺利开启 DevSecOps 之旅。