“DevSecOps 使组织能够以 DevOps 的速度交付固有的安全软件。” -Stefan Streichsbier
DevSecOps 作为一种实践或艺术形式,是 DevOps 概念的演变。为了更好地理解 DevSecOps,您应该首先了解 DevOps 的含义。
DevOps 诞生于开发和运维实践的融合,消除了孤岛,统一了焦点,提高了团队和产品的效率和性能。形成了一种新的协同效应,DevOps 专注于构建易于维护的产品和服务,并自动化典型的运维职能。
安全是许多组织中常见的孤岛。安全的核心重点是保护组织,有时这意味着创建障碍或政策来减慢新服务或产品的执行速度,以确保一切都得到充分理解并安全完成,并且没有任何东西给组织带来不必要的风险。
由于安全孤岛的独特性及其可能引入的摩擦,开发和运维有时会绕过或规避安全,以实现其目标。在某些公司,这种孤岛效应造成了一种期望,即安全完全是安全团队的责任,并且由他们来弄清楚产品可能引入哪些安全缺陷或问题。
DevSecOps 着眼于将安全学科融入 DevOps 中。通过增强或将安全性构建到开发人员和/或运维角色中,或在产品工程团队中包含安全角色,安全性自然而然地通过设计融入到产品中。
这使公司能够更快地发布新产品和更新,并充分确信安全性已嵌入到产品中。
坚固软件在 DevSecOps 中处于什么位置?
构建坚固软件更多的是 DevOps 文化的一个方面,而不是一种独特的实践,它补充和增强了 DevSecOps 实践。将坚固的产品视为通过实验或经验进行过实战考验的产品。
重要的是要注意,坚固软件不一定是 100% 安全的(尽管它可能在某个时间点是安全的)。但是,它经过设计可以处理大多数遇到的情况。
坚固软件实践的关键原则是培养竞争、实验、受控失败和合作。
如何开始 DevSecOps?
DevSecOps 入门涉及将安全需求和执行转移到开发过程的最早阶段。它最终会带来文化上的转变,即安全成为每个人的责任,而不仅仅是安全团队的责任。
您可能听说过团队在谈论“左移”。如果您将开发管道展平成一条水平线,以包括产品演进的关键阶段——从启动到设计、构建、测试,最后到运维——安全的目标是尽可能早地参与进来。这使得风险能够更好地被评估、社交化和通过设计来缓解。“左移”心态是关于将这种参与提前到管道的左侧。
这个旅程始于三个关键要素
- 授权
- 赋能
- 教育
在我看来,授权是关于释放控制权,允许团队在没有失败或责难的恐惧下做出独立决策(在合理的范围内)。此过程中唯一的注意事项是,信息对于做出明智的决策至关重要(更多内容见下文)。
为了实现授权,业务和执行层的支持(可以通过内部销售、演示和建立指标来显示这项投资的回报来创建)对于打破历史障碍和孤岛团队至关重要。将安全集成到开发和运维团队中,并提高沟通和透明度,可以帮助您开始 DevSecOps 之旅。
这种集成和动员使团队能够专注于一个单一的结果:构建一个产品,他们对该产品共同承担责任,并在开发和安全方面以可靠的方式进行协作。这将使您在授权方面取得很大进展。它将产品的共同责任置于构建产品的团队身上,并确保产品的任何部分都可以拆开并保持其安全性。
赋能涉及将正确的工具和资源掌握在团队手中。它关乎通过论坛、维基和非正式聚会创建知识共享的文化。
创建一种专注于自动化和重复性任务应该被编码的概念的文化,可能会减少运维开销并加强安全性。这种情况不仅仅是提供知识;而是关于通过多种渠道和媒介(通过工具实现)使这些知识高度可访问,以便可以以团队或个人喜欢的任何方式消费和共享。一种媒介可能在团队成员编码时效果最佳,另一种媒介可能在他们在路上时效果最佳。使工具易于访问和简单,并让团队使用它们。
不同的 DevSecOp 团队会有不同的偏好,因此尽可能让他们保持独立。这是一个微妙的平衡练习,因为您确实希望实现规模经济和在产品之间共享的能力。参与这些工具的选择和更新将有助于降低采用的障碍。最后,也许也是最重要的,DevSecOps 关乎培训和意识建设。组织内的聚会、社交聚会或正式演示是同行教学和分享学习经验的好方法。有时,这些会突出其他人可能没有考虑到的共同挑战、担忧或风险。分享和教学也是学习和指导团队的有效方法。
以我的经验,每个组织的文化都是独一无二的,因此您不能采取“一刀切”的方法。与您的团队联系,了解他们想使用什么工具。测试不同的论坛和聚会,看看哪种最适合您的文化。征求反馈并询问团队哪些有效,他们喜欢什么以及为什么。适应和学习,保持积极态度,永不停止尝试,您几乎总是会成功。
1 条评论