devsecops
“ DevSecOps使组织能够以DevOps的速度交付本质上安全的软件。” -斯蒂芬·斯特赖希斯比尔
DevSecOps是一种实践还是一种艺术形式,是DevOps概念的演进。 为了更好地了解DevSecOps,您首先应该了解DevOps的含义。
DevOps诞生于合并开发和运营实践,消除孤岛,调整重点以及提高团队和产品的效率和性能的过程。 形成了新的协同效应,DevOps专注于构建易于维护并自动执行典型操作功能的产品和服务。
安全是许多组织中的常见孤岛。 安全的核心重点是保护组织,有时这意味着创建障碍或策略,以减慢新服务或新产品的执行速度,以确保一切都被安全地理解和安全地执行,并且不会给组织带来不必要的风险。
DevSecOps致力于在DevOps中合并安全规程。 通过增强安全性或将安全性纳入开发人员和/或操作角色,或在产品工程团队中包括安全性角色,安全性自然可以通过设计在产品中找到。
这使公司可以更快地发布新产品和更新,并且完全有信心将安全性嵌入到产品中。
耐用的软件在哪里适合DevSecOps?
构建坚固的软件比DevOps文化更是DevOps文化的一个方面,它补充并增强了DevSecOps实践。 可以将坚固的产品视为经过实验或经验而经过艰苦努力的产品。
重要的是要注意,坚固的软件不一定是100%安全的(尽管它可能在某个时候已经存在)。 但是,它已被设计为可以处理所抛出的大部分内容。
坚固耐用的软件实践的主要宗旨是促进竞争,试验,控制故障和合作。
您如何开始使用DevSecOps?
DevSecOps入门涉及将安全要求和执行转移到开发过程的最早阶段。 最终,这将导致文化转变,安全性将成为每个人的责任,而不仅仅是安全团队的责任。
您可能听说过团队谈论“左移”。 如果您将开发流程划分为一条水平线以包含产品演进的关键阶段(从启动到设计,构建,测试以及最终到运营),则必须尽早参与安全性的目标。 这样可以通过设计更好地评估,社交化和减轻风险。 “左移”的心态是关于使这种参与在该管道中向左移动。
此旅程始于三个关键要素:
- 授权
- 使能
- 教育
在我看来,授权就是释放控制权,并允许团队做出独立的决定,而不必担心失败或受到打击(在合理范围内)。 此过程中唯一需要注意的是,信息对于做出明智的决定至关重要(请参见下文)。
为了获得授权,业务和执行支持(可以通过内部销售,演示文稿以及建立度量标准来显示该投资回报的创建)对于打破历史障碍和孤立的团队至关重要。 将安全性集成到开发和运营团队中,并提高沟通和透明度,可以帮助您开始开发DevSecOps的旅程。
这种集成和动员使团队可以专注于单个结果:构建一种产品,让他们分担责任并以可靠的方式在开发和安全方面进行协作。 这将带您获得授权的大部分方式。 它与产品制造团队共同承担产品的共同责任,并确保产品的任何部分都可以拆开并维护其安全性。
启用涉及将正确的工具和资源掌握在团队手中。 这是关于通过论坛,Wiki和非正式聚会创建一种知识共享的文化。
创建一种注重自动化的文化以及应该对重复性任务进行编码的概念将可能减少运营开销并增强安全性。 这种情况不仅仅是提供知识。 它旨在通过多种渠道和媒介(可通过工具启用)高度地获取此知识,以便可以以团队或个人喜欢的任何方式来使用和共享该知识。 当团队成员进行编码时,一种媒介可能效果最好,而在旅途中,另一种媒介可能会更好。 使工具易于使用和简单,并让团队参与其中。
不同的DevSecOp团队会有不同的偏好,因此,只要有可能,他们就可以独立。 这是一种微妙的平衡练习,因为您确实希望规模经济和产品之间共享的能力。 在这些工具的选择和更新中的协作和参与将有助于降低采用的障碍。最后,也许也是最重要的一点,DevSecOps与培训和意识建设有关。 组织中的聚会,社交聚会或正式演讲是同龄人教授和分享他们的经验的好方法。 有时,这些突出显示了其他人可能没有考虑过的共同挑战,担忧或风险。 分享和教学也是学习和指导团队的有效方法。
根据我的经验,每个组织的文化都是独特的,因此您不能采用“千篇一律”的方法。 与您的团队联系,找出他们想要使用哪些工具。 测试不同的论坛和聚会,看看哪种文化最适合您的文化。 寻求反馈,并询问团队正在做什么,喜欢什么以及为什么。 适应和学习,积极向上,永不停止尝试,您几乎总会成功。
接下来要读什么
devsecops