devops相关书籍哪个好_您在DevOps周期中的哪个位置进行安全保护？

devops相关书籍哪个好

有时标题只是给出答案。 我是一名安全人员，因此这对我来说很容易：答案是“您在DevOps周期的何处进行安全保护？” 是“无处不在”。 但是，只有几句话并不能使文章引人注目，因此我将详细介绍。

这个问题到底是什么意思？

在瀑布式项目的“美好时光” ¹中，存在一种普遍接受的做法，即试图在过程结束时，即在部署或运输之前将安全性引入项目中。 没有人认为这实际上是一种很好的做法，但是对于那些困扰安全性的项目来说，这太普遍了。

始终在部署，那么您需要在什么时候进行安全保护？ 正如我上面建议的那样，答案是“无处不在”。 但是，我们只是获得了很少的其他信息而已，所以我们将它们分开。

当我们想到DevOps时，我们将其视为一个连续的过程-我们脑海中所使用的图片是一个圆还是一个8的无穷大符号图形-我会辩解说，其中不存在我们不应该使用的部分被“做安全”：

• 在设计时，安全性应该成为您要求的一部分。
• 在编码时，您应确保遵循正确的编码准则。
• 在测试时，应该进行单元测试以涵盖安全性案例。
• 在部署时，您应确保已部署了正确的密钥并得到了充分的保护，并且您的工作负载在正确的主机上执行。
• 在运行时，您应该监视妥协。
• 等等...

请注意，在上面的列表中，我从各种不同级别的DevOps“堆栈”中选择了示例。 编码准则与产品无关，而与产品的制造方式有关，例如，与工作负载监视不同。 单元测试在与工作负载放置和计划不同的体系结构级别上运行。 这告诉我们，在DevOps世界中，需要在整个过程中从多个不同级别考虑安全性。

一个“哪里”问题或一个“谁”问题？

如果第一个问题的答案是“无处不在”，那么您的团队可能就会意识到：如果安全无处不在，那么这是每个人的责任。 当然，这是正确的，但这并不意味着您可能认为这意味着什么：每个人都必须突然成为安全专家² 。 相反，这意味着遵循安全流程是每个人的责任。 那么，谁将它们放置到位，它们看起来像什么？

好吧，第一件事就是不要假装会有一个“安全专家”来了解DevOps堆栈的所有部分，您正在运行的所有项目和产品的一切。 会有不同的人：例如，一个人决定应使用哪种容器映像，另一个人指定工作负载放置和调度规则，另一个人了解安全监视的奥秘世界。

我们需要做的第二件事是自动化 。 当然，自动化是DevOps的关键，因此，如果我们不自动化专家在流程中提出的安全策略，就永远不会遵循它们。 有些将比其他的更易于自动化，而有些（希望越来越少）将需要DevOps团队其他成员的一些投入。 但是，如果我们可以将安全人员完全带入团队，那么他们应该开始了解自动化的力量，并且说服他们以我们最好的人自动化将变得越来越容易。

不仅在每个地方，而且每次

最后一点回到瀑布开发模型。 在该模型中，您一次“执行”安全性⁴ ，但在DevOps模型中，则没有“一次”的权限-每次都无处不在。 现在，可能很诱人-非常非常诱人-只是为了让安全人员参加一两次迭代，然后，让他们出发去做自己的事情，无论它在哪里，无论它是什么⁵ 。

这将是一个巨大的错误。 我们都知道，功能要求会随着迭代的进行而改变-用户以意外的方式与事物交互，客户改变主意，管理或多或少变得笨拙⁶ ，主机配置得到更新。 但是非功能性要求（例如安全性）也是如此。 如果用户与产品的交互方式不同，是否需要更改身份验证模型？ 自您上次审核以来是否有新的法规要求？ 是否需要修补正在运行工作负载的主机以缓解最近发现的漏洞？

所有这些答案都可能是肯定的，因此至关重要的是，在整个过程中以及每次迭代时，都必须让安全人员成为团队的一部分。 不要认为这是一件坏事； 他们的参与使您不得不重做整个项目，而当您发现错过的重要安全要求时，甚至更糟的是，需要在整个过程中成为安全专家。

¹这很讽刺。

²引起约97％的开发人员，操作人员，测试人员，设计师以及所有人的共同感叹。 ³

³除我们安全人员外； 我们喜欢它。

⁴如果您很幸运。

⁵ a）大概在酒吧，b）你不想知道。

⁶它通常“比较无知”，但是您知道这一点。

[请参阅我们的相关故事， 安全性和隐私：您知道系统中潜伏的是什么吗？ ]

翻译自: https://opensource.com/article/18/6/where-cycle-security-devops

devops相关书籍哪个好