重大运营转型必须是一个长期且周密计划的过程。由于 DevSecOps 是贵组织 DevOps 旅程中的重要一步,因此如果您分阶段引入和实施转型,则更有可能获得成功。
在我的上一篇文章中,我解释了进行此更改的前三个阶段。本文介绍了您必须经历的 DevSecOps 转型的其他三个阶段,才能实现您的目标。完成这些阶段需要您促进团队协作,以推动您的组织完成安全变更、DevSecOps 上线,并落实工具以持续学习和迭代您的 DevSecOps 工具链和流程。
第 4 阶段:协作处理 DevOps 工具链的安全变更
向 DevSecOps 过渡过程中的一些安全变更可能会对运营甚至安全合规性产生不利影响。工具、流程甚至人员配置的变更有时会改变团队的工作方式。
您的开发、运营和安全团队必须在部署前和其他接触点进行协作,以确定优先级。安全团队有时会优先考虑会对运营产生不利影响的安全措施。同样,您的开发人员可能会忽略系统配置造成的一些漏洞,这些漏洞可能会危及您系统的安全性和合规性。
部署前审查提供了主要的协作渠道。当您在从 DevOps 到 DevSecOps 的转型过程中进行部署前审查时,您将为您的开发人员和安全人员提供一个论坛,让他们可以通过该论坛相互了解各自团队的优先级和知情的权衡取舍。
第 5 阶段:执行 DevSecOps
当您的组织进入从 DevOps 到 DevSecOps 转型的第 5 阶段时,就该与一个或多个团队一起执行您的计划了。不要以整个组织的名义进入第 5 阶段。相反,在您的项目团队的计划中寻找自然中断,以便他们转向 DevSecOps 模型。例如,假设您的一个 DevOps 团队刚刚发布了一个新产品版本。在集体喘口气之后,他们正在处理来自现场的错误修复。不要在正在进行的项目中用全面的 DevSecOps 转型来打断他们的流程。
寻找新的项目机会开始执行 DevSecOps。这种方法具有以下优势
- 为团队提供一个从头开始学习新流程的全新起点,而不是在项目中途学习
- 使您能够将流程和工具培训纳入项目启动流程
- 为您的开发人员、运营和安全团队提供机会,共同讨论对项目的共同期望
- 让团队有机会在 DevSecOps 为组织带来的新工作流程中学习更好地协作
第 6 阶段:追求持续学习和迭代
从 DevOps 到 DevSecOps 的充分执行的转变没有正式的结束。在您的组织转向 DevSecOps 并采纳原则和基础之后,学习和迭代需要继续进行,超越转型本身。
由于行业内没有单一接受的 DevSecOps 定义,您可以预期随着您的 DevSecOps 之旅获得动力并且您的流程日臻成熟,您将学到很多东西。您还需要让您的组织为 DevOps 和 DevSecOps 理念的变更做好准备,这些变更可能有利于您的内部工作。
最后的想法
我在本系列中概述的阶段是实现 DevSecOps 转型路径的通用指南。对协作的强调是经过深思熟虑的,因为您企业的具体情况可能要求您修改这些阶段以实现转型。即使您需要对这些阶段进行重大更改,制定循序渐进的实施路线图也将使您更接近成功。
评论已关闭。