「嘶吼RoarTalk」数字化浪潮下,DevSecOps 的破局之战( 三 )
我个人建议企业逐步将安全左移 , 并从安全需求定义、安全设计、安全开发、安全测试、安全运营、安全组织与文化建设等多个方面内建企业的安全能力 , 并且安全需要贯穿DevOps的全流程 。 企业从安全理念到真正实践DevSecOps , 需要建设体系化的工作流程和规范 , 并加强企业流程规范与工具平台的整合与集成 。
嘶吼:在企业内部提升对于网络安全的重视程度时 , 如何进行企业安全文化的培养?
武鑫:培养企业的安全文化要渗透到组织的每一个层级 , 过程可以借助多方力量去完成目标 。 首先 , 可以通过KPI规范开发人员的代码安全性 , 从根本上让大家体会到安全是团队的任务 , 而不只是安全部门需要关注的问题 。 安全部门也改变从前以结果为导向 , 转而引导同事们提升安全意识 , 培养好的安全责任感 。 安全企业内部会定期举办红蓝对抗 , 二是重视安全培训投入 , 制定产品细则和安全的质量红线 , 然后对于流程制度做宣贯 。 可以安排人员参加培训 , 甚至是考试 , 例如安全编码的培训等 。 总结归纳平均得分情况进行排名 , 个人和部门荣誉相关 , 人员积极性被调动 , 就会形成一个良性循环 。 也能很大程度的减少安全事件发生的可能性 , 防患于未然 。 当然 , 实施要从试点、重点再到全面推广 , 切忌生搬硬套 。 不但影响最终效果 , 还耗费人力物力 。
嘶吼:从2017年DevOps系列标准正式在CCSA立项成功一路发展到现在 , 我们在未来工作中的重点是什么?
本文插图
图:DevOps标准简史
【「嘶吼RoarTalk」数字化浪潮下,DevSecOps 的破局之战】牛晓玲:我们在接下来的工作中将着重推进《研发运营一体化(DevOps)能力成熟度模型第六部分:安全及风险管理》的标准建设与评估 , 从而引领行业重视和关注DevSecOps , 为企业落地实践DevSecOps提供指导和依据 , 实现真正的既快又好还安全 。
嘶吼:AI和ML技术的快速发展进步 , 以及其加入到CI/CD流程中将加快安全集成和安全部署的步伐 。 您认为未来3-5年随着组织不断推行与实践 , 安全事件响应时间会大幅缩短吗?
武鑫:未来在响应上必然会出现更多的自动化工具和平台 , 比如今年RSAC上的十大创新厂商中有自动化漏洞响应平台的企业 , 这些企业的出现势必加速安全事件响应时间 。 从安全人员的角度来讲 , 发现问题但苦于没有专业工具支撑 , 或者需要耗费时间调配其他部门人员协同解决 , 处理过程耗费大量的成本和人力资源 。 因此 , 我们根据漏洞级别、事件影响程度划分响应优先级 , 对应相应处置和复盘流程 , 进行专项治理和修复 。
总结
DevSecOps是一种融合了安全、开发和运营的安全化管理模式 , 从它备受关注到落地 , 再到企业的切实投入 。 企业在实际落地过程中的阻碍源于部门之间目标不同、安全管理重视度不足 , 管理者可创建一个由各部门管理者组成的DevSecOps团队 , 团队从上向下减少目标不同的摩擦力 , 培养企业安全文化提升安全管理重视程度 。 在市场研究型公司IDG近期发布的一项调查中 , 25%企业成功实现了计划目标 , 他们表示可以在成本效益、可用性和客户体验等领域进行量化 。 当然 , 不同规模的企业需要根据自身IT发展程度、产品开发模式科学合理的规划DevSecOps , 在持续优化中逐步形成符合企业自身的最佳实践 。 现在 , 对于大多数企业而言理论已经转变成现实 , 一场关于数字化浪潮下的安全开发和运维的破局之战才刚刚开始 。
推荐阅读
- 纳德拉■微软 CEO 纳德拉:智能云与智能边缘推动社会数字化转型
- 『』小米:形成“铁人三项”模式,加速企业数字化进程
- 『』智能家居成新蓝海,疫情或促进行业线上转型与数字化的加速到来
- 【生产】我研制出新型熔喷布数字化自动生产线
- 『数字化』IDC发布《未来企业效率白皮书》:千禧一代已成为协同办公主力军
- 「区块」信链集团受邀考察广州多家区块链产业园 加速数字化经济建设
- 用工@金柚网六周年:构建B+C新版图,正式发布数字化灵活用工平台战略
- 「淘宝」阿里春雷计划助浙江制造 开启最大一波数字化转型
- 『砍柴网』联想童夫尧:坚持“全球化 + 中国特色”战略,推进企业数字化转型
- 「报告」企业数字化转型|数字化将推动下一波企业绩效管理(EPM)转型