尽管云计算、敏捷开发和管理流程正在不断的撼动传统IT部门的基础性地位，但是企业也必须十分重视这些新兴领域的安全性问题。我们最近采访了Gene Kim，Gene Kim是屡获殊荣的企业家、研究员和Tripwire安全公司前首席技术官兼创始人。Kim还与人合著了《VisibleOps》和《VisibleOps Security》——书中介绍了帮助企业如何“从优秀到卓越”的方案。在这次采访中我们的话题侧重于坚持DevOps研发原则对于IT企业的益处。

　　问：你所指的“坚持DevOps研发原则”是什么意思？

　　Kim:曾经有一项运动被称为DevOps，始于2009年的Velocity大会，当时Flickr的副总裁演讲时说“通常情况下，我们一天之内进行10项研发部署。”当时状况是每九个月为一个研发周期或一年为一个研发周期；或者一月为一个研发周期。这些家伙称，“我们一直在做的部署的频率比以往任何时候都快1000倍，打破了之前任何时候IT企业的DevOps频率。”想象一下您所部署的研发项目的商业价值10倍于您的那些只能每月一次或一年部署一次的竞争对手。你的竞争优势绝对是巨大的。

　　从那时起，全球的研发速率都比之前加快了。事实上，亚马逊已经记录说，他们现在每天都可以进行1000项的研发部署。所以，正是利用了DevOps和云计算使得这个速率变得更加惊人了。对我来说，这真是让人振奋。云不仅仅只是外包服务，其带来了深层次的改变。

　　问：IT安全从业人员是什么概念？

　　Kim：那些所谓的一月一次或半月一次进行安全审查的人员只是例行公事的敷衍。在当前的配置条件下，他们没有办法能够跟上信息安全彻底排除的目的。因此，信息安全往往被投诉被边缘化，做着早就该解决的事情。

　　我们已经在2012年RSA大会上进行了坚持DevOps研发原则的宣讲。但目前先让我们暂且放慢脚步。我现在正在写一本叫做《The DevOps Cookbook》的书，这本书主要是想向读者介绍如何进行各种不同类型的企业的转变。我们的建议是——我们不仅强调的是开发和运维共同工作，以期待更加不可思议的效果——我们同时更加强调信息安全的作用。我们的企业如何通过研发过程、运营过程、质量保证、项目管理、产品管理使企业增值？如何依靠稳定、安全、耐用和可扩展的环境提升安全代码？由此，我们就把安全融入了开发和运维工作。这真的彻底改变工作的进程，这样开发和运维过程的最大受益之一是安全。因为，如果我们能够找出如何进行自动化测试，我们可以将所有测试纳入研发进程；我们可以帮助代码部署到操作环境——这样不仅只是开发过程的安全，而且也不必等待每月一次的所谓安全代码审查。

　　坚持DevOps研发原则，安全问题便不用等待开发或运营来解决，不用等到九个月之后，其下一个版本发布才得到更新解决，得到热修复或快速解决生产。这意味着该企业的处理安全问题的能力要快得多。

　　问：企业如何确保安全，其固然有一套传统的方式，但仍然需要将其整合进程序之中。

　　Kim：我们认为安全问题必须通过规范性的步骤来实施。他们必须找出谁是坚持DevOps研发原则的其他利益相关者，并与之合作。他们如何解释为开发者提供的价值？如何解释能够利用一套自动化的测试并将其持续的整合及释放的过程。企业的质量和安全整合过程。利用自动的脚本，我们可以帮助你实现安全的环境。对于发布管理员：您可以将其添加到您的清单，确保发布过程的正确。对于操作员：你可以借鉴相关的工具建立你的质量检查方式，以确保部门运行的稳定、安全性和可操作性。

　　所以，可以肯定的是：我们经过DevOps转换步骤，了解其本身的价值，以及我们可以为其增加的价值是至关重要的。例如，在一般的企业，安全问题几乎贯穿整个研发过程，但在运营过程中，安全问题却严重缺席。执行DevOps的企业所不同的是，研发和运营人员在早期总是一起工作，所以一个敏捷过程的典型思维是在为期两周的间隔的结束你都可以有可交付的代码。

　　问：这样的安全措施就足够正确了吗？

　　Kim:你需要进行改革，让你不仅可以交付代码，还可以交付环境、数据库、操作系统、部署代码的网络环境。所以您的工作经历了早期的周期，然后你帮助整合进一步的自动生成，所以你必须同时部署生产环境、测试环境和开发环境。所以，你实际上是创造了这个令人难以置信的能力，使开发过程中的每个人都更容易。我们都知道安全人员也将在非常早期的阶段介入工作过程，这样你不推迟至工作的最后才获得工作环境和代码，不必在项目运行的最后才得以确保您的环境的安全问题。现在，安全第一，得到首先的执行。

　　问：一切的迭代都没有尽头，对吗？

　　Kim:这是很重要的一点。所以你如何确保在早期阶段至少进行一些检查，并为其他利益相关者提供价值？您的确想将其融入到您的执行过程中吗？现在，既然过程可以有三个特点：我们需要附上安全要求和那些正在纳入计划的日常工作，以便每季度都进行评估——这些评估基本上是在工作脚本被送达的同时所部署的功能。有了这样的协议，开发过程不能以所有的周期为特征。所有这些非功能性需求，诸如运行稳定、安全性；也在同一时间正不断的运转着。

　　问：这在IT企业或者云服务企业以外也同样奏效吗？我们看到所有的例子，基本上都有信息技术的元素。

　　Kim：所以现在问题的关键是如何成功的将其纳入日常工作的范畴吗？我认为绝对是。我曾经以Netflix为例，介绍他们是如何做到这一点的。正如你可以看到DevOps运动的主旨，他们说这不是DevOps，而是Dev-Ops（研发与运维）。其涉及到每个人：涉及质量保证、信息安全。

　　其实这在许多类型的企业都是奏效的。事实上，还包括政府机构。我研究过一些个案，人们会说，“嘿，我们采用的不是亚马逊，我们不需要这样做。我们坚持旧的方式。”我认为任何会涉及到大量IT工作的地方，以及任何有上市时间压力的企业，都有必要认清其商业价值，同时提供稳定的、安全的服务，这是有道理的。这意味着，每个人都有必要涉及到。