devops
安全是DevOps中一个被误解的元素。 有些人认为它不在DevOps的职权范围之内,而另一些人则认为它很重要(被忽略),足以建议您转向DevSecOps 。 无论您从哪个角度看,很明显,安全都会影响到每个人。
每年, 关于黑客的统计数据都变得更加令人震惊。 例如,每39秒就有一次黑客攻击,这可能会导致您为公司编写的记录,身份和专有项目被盗。 您的安全团队可能需要花费几个月(甚至可能永远)的时间,才能发现黑客的身份,身份,地点或时间。
这些严重问题应由运营专家做什么? 我说现在是时候让我们成为安全支持者,成为解决方案的一部分了。
筒仓和草皮战争
在与本地IT安全(ITSEC)团队并肩工作的多年中,我注意到了很多事情。 一个很大的问题是,DevOps和安全性之间的矛盾非常普遍。 这种紧张关系几乎总是源于安全团队为防止漏洞(例如,通过设置规则或禁用事物)而进行的努力,这些漏洞会中断DevOps的工作并阻碍其快速部署应用程序的能力。
您已经看到了,我已经看到了,您在现场遇到的每个人至少都有一个故事。 一小撮怨恨变成了一座烧毁的桥梁,需要花费一些时间进行修复-或这些团体开始一场小规模的草皮战,而由此产生的孤岛使实现DevOps的可能性不大。
换个角度看
考虑一下查找,分析和撤消已完成操作所需的大量知识。 或者要弄清楚DevOps团队在没有背景信息的情况下正在做什么,然后复制并测试它。 并由通常配备不足的安全团队来完成所有这些工作。
这是您的安全团队的日常生活,而您的DevOps团队则看不到它。 ITSEC的日常工作可能意味着加班和加班,以确保公司,其团队及其团队进行的专有工作安全。
成为安全冠军的方法
这就是您自己的安全支持者可以提供帮助的地方。 这意味着-对于您从事的所有工作-您必须认真,认真地观察别人可以登录到它的所有方式以及可以从中获得什么。
帮助您的安全团队帮助您。 将工具引入您的管道中,以将您知道的工作与他们将工作的工作集成在一起。 从小事情入手,例如阅读常见漏洞和披露(CVE)并将扫描功能添加到CI / CD管道。 对于您构建的所有内容,都有一个开源扫描工具,从长远来看,添加小型开源工具(例如下面的工具)可以加倍努力。
容器扫描工具:
代码扫描工具:
Kubernetes安全工具:
戴上DevOps帽子
如果您担任与DevOps有关的角色,那么学习新技术以及如何用新技术创造新事物是工作的一部分。 安全性也不例外。 这是我在保持DevOps安全的同时,在安全方面保持最新状态的方法列表。
- 每周阅读一篇文章,介绍与您正在从事的工作有关的安全性。
- 每周查看CVE网站,以了解新功能。
- 尝试进行黑客马拉松。 一些公司每月这样做一次; 如果您没有,请访问Beginner Hack 1.0网站,并且您想了解更多。
- 尝试每年至少与您的安全团队成员一起参加一次安全会议,以从他们的角度看待事情。
永远成为冠军
您应该成为自己的安全拥护者有几个原因。 首先也是最重要的是增进您的知识并发展您的职业。 第二个原因是帮助其他团队,建立新的关系并打破对您的组织有害的孤岛。 在整个组织内建立友谊有很多好处,包括树立桥接团队的良好榜样,并鼓励人们一起工作。 您还将促进在整个组织中共享知识,并为每个人提供有关安全性和加强内部合作的新契约。
总体而言,成为安全拥护者将使您成为整个组织的良好拥护者。
翻译自: https://opensource.com/article/19/9/devops-security-champions
devops
519
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
