DevSecOps已发展成为一个社区

6月28日，继4月份旧金山的一个类似活动之后，第一届DevSecOps Days活动在伦敦拉开帷幕。活动组织人John Willis和Mark Miller在开场做了欢迎致辞，他们说，活动的目的是复制DevOpsDays模型，并促进全球社区举办自己的活动。

\\

第一个演讲由LARES咨询公司对抗性研究和工程主管Chris Roberts呈献，他问我们是否可以击败攻击者，并自答说，尽管很多供应商表示可以，但证据告诉我们，我们不能。他的建议是更多地引入人类的干预，让人力资源和法律团队之间更多地关注安全，并“深入了解你的世界”。Roberts解释说，在数字化的世界中，组织不再有边界，迫切需要回归基础并移除进入组织的简单方式。令他感到惊讶的是，二十六年过去了，我们居然还在谈论密码问题。

\\

在Roberts的演讲之后，观众听取了每个活动赞助商的简要介绍：Electric Cloud、Sonatype、WhiteSource和Gitlab。

\\

John Willis随后在台上向观众讲述了他在DevOps企业峰会之后的前几天所推动的研讨会，参与者在研讨会中使用了由Github、Jenkins、Electric Cloud和Sonatype组成的工具包，并用它们来查找运行在Tomcat中的Struts漏洞（他强调说现在仍有大量组织面临这个Struts漏洞的威胁）。

\\

\

John Willis：如果是朋友，就不会推荐在默认模式下运行Jenkins。我们看到了可怕的死亡链——昨天目睹了一次攻击，攻击者通过攻击获取了一个AWS超级用户。Sonatype将它标记为IDE中的开发问题。

\

\\

接下来是Nike的Courtney Kissler，他建议不要只是在方法论上找问题，而是要选出合适的领导者，并通过透明度建立信誉和信任。她发现，使用数据推动决策和行动有助于重新调整情绪，而且很重要的一点是，要挑战现状并坚持不懈。因为遭到过很多质疑，Kissler后来发现词汇的使用非常重要，需要从小处着手。

\\

\

Courtney Kissler：我们不得不在口头表达方面做出很多调整，比如说使用“快速学习”代替“失败”，使用“弹性”代替“混乱”。我们学会了不在意这些词汇，更多地关注业务产出。我们提升了工作的可见度，我们发现了很多人们之前意识不到的工作进展。人们也意识不到他们的周期时间是多少，他们认为这是十天，但其实是八十四天。

\

\\

Kissler将业务的战略调整看成是一个巨大的加速器，并将工程能力看成是头号限制因素。她分享了他们是如何实现“转身”的：团队之前首先会关注功能，后来改成首先考虑安全性和合规性。结果是，在二百五十天内没有出现热修复。Kissler建议：“尊重并挖掘现实”。

\\

随后，Mark Miller与Chris Roberts和John Willis一起举行了一次非正式的小组讨论，他们讨论了行业每年产生870亿次开源下载请求的影响，随着越来越多的企业采用开源技术以及实施开源策略，这个数字只会增加。Miller表示，11.1％的Java下载组件包含已知的漏洞，其中一位观众对稳定性概念进行了一个类比：“你是在玩Jenga还是在骑自行车？”。Chris Roberts回应道：“稍安勿躁，我们需要的是沟通”。每年，已知漏洞的下载量翻一番，被报告的泄露事件也成倍增加。

\\

接下来是来自EMEA的技术社区经理Mandi Walls，他谈到了组织将自己视为技术公司的重要性，并引用阿拉斯加航空公司为了成为一个“有翅膀的技术公司”而做出的努力，他们的做法在这个领域是值得称道的。Walls提醒观众注意最近的Honda WannaCry，然后演示了Chef Inspec技术如何帮助识别和修复此类安全问题。

\\

Walls之后是Aubrey Stearn，他之前是阿卡迪亚、Travelodge和必胜客的DevOps领导者和教练。Stearn声称，DevOps的节奏已经建立起来了，并且开发往往比IT运营（特别是安全团队）动作快得多。她解释了在软件供应链环境中考虑攻击向量的重要性。供应链从本地机器开始，流经构件仓库和公共容器注册表，并达到端点。Stearn强调开发人员必须执行安全测试，在推送之前把它们扼杀在襁褓之中。她推荐观众们使用诸如Detectify之类的工具。

\\

演讲结束后，Stearn在社交媒体上分享了演讲幻灯片，其中最受欢迎的一句话是：“如果你让我的生活难过，我会偷工减料并做一些愚蠢的事！”。Strearn表示，组织无法在没有信任的情况下进行转型，DevOps不会神奇地解决问题。她谈到了“Scrum-but”，并建议团队可以停止糟糕的Scrum实践，并改用Kanban。在开发完成后，开发团队将构件交给测试团队和安全团队，然后反过来收到五个构件——她称之为“神奇的繁殖机器”。总之，Stearn表示，开发要做测试，如果组织没有在开发中做测试，他们等于在透支自己的信誉（并产生技术债务）。

\\

按照DevOpsDays的惯例，接下来的几个小时是开放讨论，向观众介绍了这个概念。开放讨论大致分为两个阵营：一个是围绕文化和组织的挑战及解决方案，一个是围绕DevSecOps技术。

\\

当天的最后一位发言人是AWS的企业战略官Mark Schwartz，他分享了他之前担任美国公民和移民服务CIO的一些经历。他带来了一名前国家安全局员工作为渗透测试员，这位员工发现了他们的数字化签证系统存在一些缺陷。他们还让一些审计人员进行了一些成功的社会工程攻击，帮助他们了解需要在哪些方面优先考虑收紧安全政策和程序——特别是人们的密码使用习惯。Schwartz说：“我们要让做正确的事情变容易，做错误的事变困难”。他们使用TFA和SSO以及进入建筑物需要安检、使用计算机需要PIN来解决密码问题——因此，他说，自动化解决了流程问题。

\\

像Kissler一样，Schwartz也谈到了文化变革，解释了传统上企业更希望IT处理功能性问题，他们对安全事务不感兴趣。他说这是一个奇怪的问题，因为一个关键的客户需求是不要让他们的数据受到损害。Schwartz强调，我们有必要建立一种文化，让我们代表客户和利益相关者关注安全，并将Rugged软件宣言作为一种工具，用于指导软件的开发，并时刻提防潜在的攻击。他总结说，很多安全修复程序是免费的，并且不需要额外的投资，只需要注意自己的工作方式，例如，不要将密钥留在源码控制系统中。

\\

DevSecOps Days伦敦站由Mark Cluet组织。下一届DevSecOps Days将于7月24日在新加坡举行。

\\

查看英文原文：DevSecOps Grows Up and Finds Itself a Community