DevOps|安全性只是辅助效果?解读DevSecOps的核心动机( 二 )
相反 , 在DevSecOps模型中 , 安全团队的作用是创建安全策略 , 帮助开发人员和操作员了解安全自动化工具和服务器作为顾问的输出 。 开发人员不需要成为安全专家 , 但是他们确实需要变得对安全性更加了解 。 毫无疑问 , 安全专业人员还必须更加熟悉基础架构和软件开发 。
这并不总是一条容易走的路 。 Benson解释说:“如果您是安全专业人员 , 并且花了很多时间来学习这些技能 , 那么对于进入使您学习完全不同的技能的东西 , 您可能不会感到非常兴奋 。 ”
统一激励措施
DevSecOps的主要挑战之一是 , 它涉及将以不同方式激励的团队召集在一起 。 开发人员希望快速推出新功能 , 安全团队希望解决每一个潜在的安全风险 , 运营商希望获得超级可靠的应用程序 。
这种紧张局势是成功收获DevSecOps所必须获得高层支持的核心原因之一 。 即使将安全性集成到DevOps团队中 , 共享KPI还是很重要的 , 这些KPI汇集了团队中每个人的传统目标 。
但是 , 谁最终对安全负责呢?这是一个棘手的问题 。 有些人认为安全性仍然应该是安全专业人员的责任 , 有些人认为责任应该转移给开发人员 , 而其他人则认为这应该是每个人的责任 。 当然 , “每个人的责任”的风险在于 , 安全不会成为任何人的责任 。
如何衡量DevSecOps的成功?
考虑到大多数公司采用DevSecOps的动机 , 因此开发速度是DevSecOps成功的关键指标就不足为奇了 。 使用开发指标的另一个优势是:很难增加安全性 。
Benson解释说:“特别是在安全性方面衡量任何事情的困难之处在于 , 您有点在衡量反事实 。 ” “如果什么都没有违反 , 这意味着您做得很好 , 或者这意味着您很幸运 。 ”
【DevOps|安全性只是辅助效果?解读DevSecOps的核心动机】但是 , 如果DevSecOps至少在文化转型方面与在技术方面同样重要 , 那么用组织指标衡量成功的意义就至少一样重要 。 例如:安全专业人员是在花费时间自己运行测试还是在为DevOps团队创建或配置工具来使用?安全专家在提出建议时是否了解并考虑了功能的业务原理?开发、安全性和操作之间多久通信一次…… ……
推荐阅读
- 三易生活|AMD也要做5G手机芯片?可能目前只是个幻想
- 青蜂天下|任正非一语道破,中国芯片产业落后原因找到了,不只是光刻机
- 凤凰科技|vivo X50 Pro 体验:没想到稳得不只是摄像
- 黑客|全球最大的黑客组织“匿名者”发布视频称:黑人事件只是冰山一角
- 机智Phone云|不只是轻薄和颜值,全新锐龙7强芯才是华硕灵锐14的关键
- 开源村OSV|K8s对企业有多重要?听各国的DevOps研究所大使怎么说
- 零点新闻|智能门锁与传统门锁安全性对比 检测结果超出你的正常认知原标题:智能门锁比传统门锁更安全吗?监测结果出人意料
- 产品|不只是Photoshop,Adobe将把所有产品图标统一为圆角矩形
- 互联网乱侃秀|明明只是一家通信设备厂商,为何华为被大家捧上天,让美国忌惮?
- 第一财经|潘建伟团队RMP重磅论文:量子密码现实安全性彻底提升