发布于:2021-02-10 00:00:54
0
93
0
DevSecOps很难做到正确,但是它变得越来越重要。如果公司要将安全性集成到DevOps中,我们将克服所有公司需要记住的挑战,关键见解以及Gartner的十大事项。
DevSecOps可能是一长串技术流行语中的最新词,但这实际上是在结合不同的生产和运营领域的同时推广安全技术实践的相当实用的方法。但是要进入DevSecOps思维定势,就需要认真的协作,以更好地改变流程和技术。
随着DevSecOps迅速成为组织的首选方法,花一点时间并确保一切都朝着正确的方向发展变得更加重要。
基于技术的研究公司Gartner表示,将安全性集成到DevOps中需要改变观念和实践。协作是使“ DevSecOps中的秒保持安静”的关键。
DevSecOps面临的挑战
信息安全不是很性感。抱歉。事实并非如此。拥有新IT功能的新产品带来了财富,而不是确保所有Java库依赖项都是最新的。这意味着在灾难袭来之前,漏洞通常被忽略。
在开发过程中,安全性充其量通常是事后的想法。但是,无论用户是否使用DevOps,组织和企业都有责任为其用户创建安全且相关的应用程序。
话虽这么说,但如果组织要将Sec完全集成到DevOps中,则信息安全性应适合DevOps流程和工具。同样,完美的安全性也不能追求阻碍数字业务的目的。
推荐建议
那么,DevOps组织应该做什么?在安全性与速度之间取得平衡是难以克服的难题。说起来容易做起来难,但是这些建议大多数都是常识。
将安全性和合规性测试集成到DevOps中。如果您这样做是为了使开发人员无需离开CI / CD工具链就可以管理数据安全性,那么您就消除了确保数据安全性的主要障碍。
了解您的组件来自哪里!如果它是开源的,请检查是否存在漏洞和配置错误。
对新工具和方法持开放态度。
通过安全冠军模型将您的Infosec团队扩展到DevOps。
以与源代码相同的保证水平测试自动化脚本,模板,图像和蓝图。保持一定的保证水平并坚持下去!只是不要对此太疯狂,完美是一个神话。
十大技巧
听起来一切都很好。但是它在地面上如何运作?如果您试图将Sec放入DevSecOps中,则并非一帆风顺。还是?同样,这些技巧很多似乎都是常识。您会惊讶地发现有很多人有时忘记了基础知识。
不要试图将圆钉固定在方孔中。使您的测试工具适应您的开发团队。使开发人员可以轻松使用安全测试工具。如果这既困难又痛苦,那么无论目标是什么,都不会竭尽所能。如果Sec正确实现,则在该过程中将不可见。
完美是善良的敌人。退出尝试消除测试期间的每个安全漏洞。您不是完美的,这基本上是不可能的。我们不建议您完全忽略安全性;只需接受可能存在一些最小的安全漏洞并继续前进即可。
分忧。专注于大事,然后逐步处理重要的安全漏洞列表。这应该是不言自明的。
您的自定义代码也不是完美的。所有应用程序都有一定数量的自定义代码。这意味着很难发现这些漏洞。您应该期望会有一些变化。抱歉。
您的开发人员不是安全专家,没关系。显然,对开发人员的基本安全培训非常重要和必要。话虽如此,您不能指望他们在为期2天的培训课程和一些PowerPoint的基础上成为网络安全专家。无论如何,此基础培训应减轻一定数量的用户错误。
我需要一个英雄。安全冠军意味着每个组织都有一个人,谁知道安全性。如果提名几个人担任安全支持者的角色,则可以在整个组织中阐明标准和要求。
不要使用粗略的来源。同样,这应该是不言自明的。尝试从一开始就尽量减少使用易受攻击的组件。您的开发人员应该更了解。
如果基础生锈了,不要大惊小怪。基础设施很重要。必须确保源代码控件也适用于基础架构。
保持清晰的记录和一致的代码。与往常一样,文档是关键。最好知道是谁更改了内容,以便您可以修复错误并确保所有迭代的一致性。
锁定基础架构。生产后,任何人都绝对不能改变基础架构。这样会导致疯狂和系统错误。相反,对基础架构的所有更改都发生在开发中。如果某事着火了,那么可以回滚那些最新的更改。
将安全性集成到DevOps中并不是最简单的方法,但这无疑是值得的。而且,如果遇到麻烦,请记住保持冷静并编写代码。
作者介绍