闪电问答:与Maya Kaczorowski共同开展的DevSecOps竞赛,共五场(译文)
By S.F.
本文链接 https://www.kyfws.com/news/2020-09-24-lightning-qa-devsecops-in-five-with-maya-kaczorowski/
版权声明 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
- 6 分钟阅读 - 2789 个词 阅读量 0闪电问答:与Maya Kaczorowski共同开展的DevSecOps竞赛,共五场(译文)
原文地址:https://github.blog/2020-09-24-lightning-qa-devsecops-in-five-with-maya-kaczorowski/
原文作者:Grace Madlinger
译文由本站翻译
_上个月,GitHub供应链安全产品经理Maya Kaczorowski _ [是DevSecOps](https://github.blog/2020-08-13-secure-at-every-step-a-guide-to-devsecops- 开发团队的安全最佳实践.我们有一些后续问题,因此我们向她提出了闪电般的问题-快速深入探讨了DevSecOps对开发人员的本身以及如何将其部署开发人员的工作流程.
首先,首先:我们曾经听说过术语DevSecOps,并且由于您的帖子,我们对它的含义有了更好的了解.但是我们都可以从中学到更多. DevSecOps又是什么?
DevSecOps是DevOps团队如何考虑安全性的观念转变. DevSecOps不是让安全团队独自负责应用程序的安全性,也不是在编写代码后验证所有安全性要求,而是让应用程序生命周期中的所有各方对应用程序的安全性负责.
这很容易知道-这是关于分担责任的.这个名字似乎暗示它与DevOps有关.如果是这样,DevOps和DevSecOps之间有什么区别?我们真的需要另一个缩写吗?
嗯,您近年来在行业中转向DevOps所发生的相同观念转变,也促使您转向DevSecOps.有个相似之处.在DevOps中,即使您不管理基础架构,每个人都应对故障负责.在DevSecOps中,即使您没有编写软件,每个人也要对漏洞负责.
DevOps出现的原因是业务需求减少了.如果每个人都有帮助预防停机的工具,并且每个人都对它们负责,则应减少此类情况的发生.在没有明确的业务需求的情况下,成功地转变业务流程非常困难.就像DevOps的目标是减少中断一样,DevSecOps的目标是减少安全问题,例如数据丢失.而且,如果您考虑CIA机密性,本质和可用性三合会,您会注意到DevOps减少停机的努力直接解决了可用性问题-因此看到这些概念的结合并不奇怪.这似乎只是另一个缩写或行业流行语,但将其命名为" DevSecOps"是一种将(并保持)安全性纳入有关我们如何构建软件的较大讨论中的方法.
所以说我们想将所有这些都付诸实践. DevSecOps方法是什么?这与我们经常听到的另一个另一个"向左移动"有什么关系?
DevSecOps是一种观念转变.不幸的是,尚无规范的DevSecOps实践列表(因此也没有可购买的魔术产品),而是通过更好地将其纳入软件生命周期来对安全实践进行更改.
在实践中,要使团队对自己的发展负责,流程需要“向左移”到开发生命周期的早期,以满足他们的实际情况.这意味着将安全性从部署时的最终大门转移到较早的步骤,并在开发,构建和测试时及早向开发人员提供有关其应用程序安全性的反馈.在上下文中提供此反馈意味着开发团队可以更轻松地解决问题,而又不会失去流程,并且可以更快地解决问题.
*如果DevSecOps是一种思维方式的改变,而不是一种特定的方法,则意味着可以采用多种方式来实现.那要解决什么问题呢?开发人员从迁移到DevSecOps可以带来什么好处? *
总体而言,DevSecOps解决了安全团队过度紧张以应对应用程序安全的问题.应用安全专家的匮乏不仅对于您的组织来说是正确的,而且在整个行业范围内.安全团队还不足以解决每个安全问题,而他们永远都不会解决.通过四处传播知识和工具,开发人员还可以帮助解决常见的安全问题,并使安全专家专注于最需要的地方.
不过,DevSecOps并没有完全解决特定的技术问题.是的,目标是减少安全问题.但是我们也知道,没有什么是完全安全的. DevSecOps无需专注于使应用程序完全安全,而是可以更好地利用您的资源来满足安全要求,并为您提供了在问题发生时快速做出反应的敏捷性.如果您可以快速解决问题,或者更好地解决问题,甚至根本无法解决问题,那么您已经意识到DevSecOps的好处.
为什么DevSecOps很重要?
DevSecOps使安全性显得很特殊,但现实情况是,应该在开发过程的每个步骤中以这种方式紧密集成每个功能.如果从DevSecOps的行业炒作中获得一剂(在较小程度上是DevSecOps的采用),那么就可以认识到我们今天为应用程序安全所做的事情是行不通的,因为它无法扩展.它注意到资源不足以充分解决安全问题,并建议我们可以分散一些责任,以实现更好的应用程序安全性.
您已经说服了我们.我们如何为团队实施DevSecOps?
如前所述,目前尚无规范的,被广泛接受的DevSecOps实践列表. DevOps学习尚未广泛涉及这个主题.为了帮助开发团队在安全问题上采取行动,安全控制和反馈需要在开发生命周期中的开发,构建,测试中"向左移". 这可以是许多不同的控件,包括不同的控件[为您自己的代码](https://github.blog/2020 -08-27在每个步骤中将devsecops投入到代码扫描//和第三方代码的实践中都是安全的,这取决于您从哪里开始.那么,第一步是什么应该采取DevSecOps?
- 如果您的团队使用不同的CI/CD管道,那么您可以采取的安全措施最好的方法之一(确实是!)就是整合多个工具,以便有一种清晰的代码发布方式.这样一来,至少可以更轻松地知道要交付生产的产品以及已经使用的控件.
- 如果您的团队已经有了通用的管道,请考虑向左移动一些控件.从整合测试到静态分析工具,或者从生产中提交的JIRA票据到集成开发环境(IDE)中出现的警报,您采取的整合工具链的任何步骤都很重要.这并不意味着您可以或应该完全替换任何下游工具.相反,您可以更轻松地更快地发现和解决问题.
- 而且,如果您已经走了很长一段路,而且还不止于此,那么请考虑采取其他措施可以使您的开发人员的生活更轻松,并提高您的安全性:也许它会自动验证配置,或者提供一组修补和维护的库.
非常感谢您对DevSecOps的见解.听起来我们要做一些工作.您可以共享任何资源来帮助团队入门吗?
当然,这是我的一些最爱:
- 如何在没有D系列的情况下提高您公司的安全性来自BSidesSF 2020的Clint Gibler的讲话
- ** DevSecCon **社区和资源,包括过去的个性
- **很棒的DevSecOps **综述来自DevSecOps.org
- Google的建立安全可靠的系统
寻找更简单的方法来保护您的代码安全吗?请继续关注本系列中即将发布的帖子,或查看Maya最近的GitHub Talk, 通过安全的软件供应链快速发货.
Security 新闻 翻译