DevOps是一组过程、方法与系统的统称，用于促进开发（应用程序/软件工程）、技术运营和质量保障（QA）部门之间的沟通、协作与整合。

为何说信息安全组成了DevOps的关键部分之一？

DevOps在确保开发人员与运维人员能一起工作并且更有效率方面非常成功。通过 DevOps，运维团队可以获得他们所需要用于了解如何建立有效和可靠应用程序构建、打包和部署过程方面的信息。而信息安全组也同样有许多与运维团队一样的需求。此外，InfoSec 还需要获得他们需要用于确保整个系统是安全和可靠方面的信息。正如DevOps帮助开发和运维团队能更有效地一起工作一样，DevOps 也可以帮助开发和信息安全团队更有效地一起工作。在DevOps中，持续部署已经成为DevOps 的一个关键实践，并且关注于通过自动化的构建、打包和部署来自动化部署流水线。通过提供一个平台可以在开发生命周期里尽早访问和定位安全问题，信息安全团队也同样能够从部署流水线上得到显著的获益。只要一旦有风险评估被介入，有效的安全保障就应当永远与之同步进行。

需要强调的是，DevOps可以帮助定位安全风险。作为软件或系统开发工作的一部分，风险需要被理解和定位。安全保障不能仅仅在开发过程的末尾才加入进来。系统需要在开发生命周期的最开始，就将安全保障与设计和开发一道同时得到关注。

• DevOps提供了必需的构造来帮助定位众多安全风险，这是创建任何复杂技术系统的内在要求。
• 安全漏洞往往是各种事件的直接后果。例如，在 C/C++ 系统中进行不恰当的编码实践就可能导致缓冲溢出条件有机会被恶意攻击者用于实施越级程序权限。缓冲溢出攻击经常被攻击者所利用，来获得系统的控制权，甚至可以很有效地获得 root 权限。
• 运行时事件的发生也可能导致不恰当的安全控制，例如发生在不同组件之间的身份验证与授权。一个常见的安全问题根源就是来自于由于某次部署所应用的不正确的访问权限。
• 另外一个安全问题领域是确保所部署的是正确的代码。在部署过程中所带来的错误有可能会暴露给恶意攻击者。
• 在不同接口之间的配置问题经常会曝露给攻击者，以被其用于尝试侵入系统。一旦系统缺乏防范措施，不恰当的安全控制问题就有可能导致非授权的变更变得非常难以识别，而且难于执行鉴定证明来查清到底有哪些变更是由于错误或是由于恶意目的所造成的。

不难理解，通过有效的源代码管理来构建安全的系统，软件质量从基础中得到控制。提供网络安全技术资源，或许能助DevOps开发一臂之力。

通信安全工具：

代码混淆工具：