DevSecOps可能是解决软件开发漏洞的答案

发布于:2021-01-06 10:34:07

0

134

0

DevSecOps devops

如果实施正确,DevSecOps代表了两全其美:不仅可以加快安全流程,还可以使代码更安全。在本文中,我们将研究什么是DevSecOps,它可以为您的组织提供的好处,以及如何开始向其过渡。

在最初引入该概念时,许多人认为DevOps是毫无意义的流行语。尽管如此,至少在某种程度上,许多组织已经应用了将IT运营和软件开发无缝集成在一起的方法的基本见解。

从本质上讲,向DevOps的过渡需要对软件公司的工作方式进行文化上的转变,在这种转变中,独立团队的孤僻性质已被更全面,更具沟通性的方法所取代。

在这种文化转变成功的基础上,许多人正在寻找如何进一步利用它的好处。

这些新颖的方法中的一些方法侧重于培训初级同事成为一名DevOps工程师。其他人则试图将业务团队整合到IT和开发流程中,并将DevOps整合到BizDevOps中。但是,到目前为止,最常见的方法是开始将网络安全团队带入DevOps流程,并过渡到DevSecOps。

在本文中,我们将研究什么是DevSecOps,它可以为您的组织提供的好处,以及如何开始向其过渡。

什么是DevSecOps?

一方面,DevOps的开发可以看作是对提高开发速度的回应。十年前,IT运营团队几乎从未与开发人员进行过交谈,因此,在开发软件时并未考虑到持续的维护。通过整合这些团队,公司能够在开发流程的最开始就收集来自运营团队的意见,并确保软件不必经过两个团队之间重复且耗时的反馈循环。

DevSecOps的大多数定义都采用了这一中心思想,并将其扩展为包括另一组员工:网络安全团队。尽管大多数组织中其他团队的集成度不断提高,但网络安全团队通常仍然处于孤立状态,与开发人员的交流很少。这意味着,在发布软件之前(有时甚至在发布之后),安全团队必须详尽检查软件是否存在安全漏洞。此过程需要花费大量时间。

通过将安全团队与现有的DevOps团队整合,希望可以在早期阶段发现安全问题,并希望开发人员可以通过设计模型来朝着安全方向发展。

通过尽早与安全人员合作,还希望可以在设计阶段而不是在追溯阶段解决经常被忽视的软件安全问题,例如在途加密和网络托管。硬化过程。

尤其是对于小型企业而言,选择虚拟主机时,整个事情比您意识到的要重要得多。它不仅是启动电子商务网站的平台,您的托管选择还会影响网站性能的可靠性和安全性。

DevSecOps的好处

除了开发软件的速度之外,DevSecOps还有许多其他好处。

最重要的功能之一就是能够以比当前更高的基础水平将安全监控集成到软件中。网络安全的和开发团队的整合,将“自然”导致对安全监测和评估软件的呼叫被内置到软件从开发周期的开始,甚至允许小企业来衡量其水平的网络安全成熟。

除了增加透明度之外,向DevSecOps的过渡还使安全人员可以更深入地了解软件的实际工作方式以及构建软件所涉及的折衷方案。过去十年中,安全团队与运营团队之间缺乏沟通,最不幸的后果之一是每个团队都已经建立了自己的观察世界的方式。

网络安全工程师善于扫描外部威胁,并将不断争辩是否需要将强加密应用于每个级别的软件。他们通常不太担心软件的内部操作,或者对它们的了解不多,或者如果以这种方式应用加密,性能会降低多少。

进行过渡

对于已经成功实施DevOps的公司来说,过渡到DevSecOps并不困难,甚至没有破坏性。但是,在此过渡期间要牢记三个关键原则。

首先是尊重DevOps和安全团队的现有专业知识。换句话说,您不应尝试将其中一个团队直接集成到另一个团队中,而应仅将安全性委派给运营团队。

其次,在此基础上,认识到培训通常是您成功过渡所拥有的最有用的工具。当前IT技能差距最困难的方面之一是,许多大学课程都侧重于安全或开发,因此,专注于前者的毕业生通常甚至不具备基本的网络安全知识,例如如何设置VPN或如何选择一个强密码。同样,将需要向网络安全团队学习安全编码的基础知识,以便做出有效的贡献。

最后,不要试图复制软件开发“传统”模型的负面方面。在DevSecOps团队中,安全人员的作用不仅是执行其工作历来具有特征的威胁情报。相反,应该对他们进行持续服务交付和持续集成的基本原理方面的培训,并让他们扮演开发顾问的角色,而不是软件发布的守门员。

立足成功

如果实施正确,DevSecOps代表了两全其美:不仅可以加快安全流程,还可以使代码更安全。如果您已经具备了DevOps的关键组件,并且现在正在寻求在不损害安全性的前提下扩展启动范围,那么DevSecOps就是做到这一点的方法。