DevSecOps的爆发在网络安全澳门赌场官方下载中引起了许多兴奋和担忧. 这不再是一个组织应该实施DevSecOps的问题,而是何时以及如何实施的问题? 虽然DevSecOps的范围和复杂性最初可能会让安全专业人员望而生畏, 要实施有效的DevSecOps计划,有几个要点需要牢记在心,这些计划可以使组织提高软件发布的速度,同时保持安全:
- 记住,工具是你最好的朋友. DevSecOps的速度使得手动测试/审查过于繁琐而无法有效. 找出最适合您的交付管道的安全工具, 并与团队合作,有效地集成它们,使您的安全控制成为框架的一个组成部分. 至少, 您应该对每个软件部署进行安全的代码审查和自动的安全扫描.
- 自动化决策过程. 在DevSecOps中实现安全控制的过程中,我意识到的一个关键问题是,如果不根据结果立即做出决策,那么前面提到的自动化安全测试都不会产生任何影响. 作业需要基于安全专业人员和开发人员需要坐在一起定义的安全成功标准来智能地成功/失败. 某些内容将成为开发者需要立即获得反馈的亮点, 而其他的可以稍后修复, 但是这个决策框架需要自动化, 立即将结果发送给所有相关团队.
- 编码是无法逃避的. 正如我想说的那样,每个组织都有足够的预算来雇用具有丰富编码经验的专门安全专业人员, 这是不现实的. DevSecOps通常需要安全专业人员卷起袖子,深入研究代码,找出工作失败的原因, 没有触发应用程序编程接口(API)调用, 等., 如果安全专业人员无法为此类问题提供答案,开发人员将感到沮丧. 投资于开发人员的安全培训和安全专业人员的编码培训将在未来获得巨大的回报,并有助于打破孤岛, 能够在基层更快地向DevSecOps文化转变.
读读Taimur Ijlal最近写的 杂志 文章:
"成功实施DevSecOps的三个策略," ISACA杂志, 2019年第4卷.
