首页 未命名正文

关于开发运维 安全团队需要知道什么?

开发运维(DevOps)在19%的IT公司中已经在用,另外19%处于试验阶段,还有35%打算在2017年实现开发运维。以上数据源于上周刚举行了数据中心、基础设施和运维大会的某大型分析公司的调查结果。明年,将是开发运维跨越鸿沟的一年。

devops-security

随着开发、运维逐渐成为主流,将安全融入其守则是不可避免的。无论如何“开发安全运维”这个词是否流行,安全必须以更早进入软件供应链的时代已经到来。

什么是开发运维?

在包括安全性进入开发运维之前,定义开发运维可能有帮助。其中一个困难是,每个开发运维项目都是独一无二的。乔治,最畅销的运维书《凤凰计划》作者之一·斯巴福德曾说:“让5个人定义开发运维,你会得到7个不同的答案。”

Gartner对于不熟悉敏捷开发 *** 的人来说,有一个定义,使用内部术语是无法理解的。由于固定的行业标准可能违反了定义开发、运维的阻力***实现公司业务需求的目标。

因此,没有标准定义,但有助于理解这个案例。敏捷发展出现在需要更快创新的压力下。然而,发布速度仅限于基础设施和运维。因此,开发与运维合作的更紧密的压力是开发和运维的驱动力。

作为草根运动,虽然在定义上一直存在争议,但开发运维支持以下原则却越来越共识:

                   
  • 开发运维的存在有助于帮助公司取得成功
  •                
  • 涵盖很广,但焦点在IT
  •                
  • 敏捷和精益是基础
  •                
  • 文化很重要
  •                
  • 反馈是创新的源泉
  •                
  • 帮助自动化

***,开发运维是利用合作、敏捷的 *** 解决业务问题或利用信息技术抓住商机。

如何交织开发、运维和安全?

若公司正在运用开发运维,可提供以下六项原则,以安全支持开发运维:

1. 运维开发的存在有助于帮助公司取得成功

一直享受安全“说否部门”虽然通过战略缓解风险仍然是信息安全的重要组成部分,但业务需求必须在这些战略中占据同样的重要地位,而不仅仅是从安全实践中。两者不应相互敌对。业务部门必须了解和承认风险。同时,在共同合作中,安全部门必须重点关注如何帮助公司实现竞争优势。

2. 覆盖面广,但焦点落在IT

公司想在数字化改变的世界里取胜(想想Uber出租车行业做了什么?IT在这种变化的中心。但它并不是一个人独自坐在中心。有必要与公司的其他部门合作,如人力资源、财务、运营甚至外部供应商。信息安全应在风险耐受性和公司监管要求范围内继续寻求尽可能无摩擦的沟通。

3. 基础是敏捷和精益

了解从丰田制造运营中借用的敏捷宣言和精益原则,将极大地有利于安全人员的发展、运营和维护。安全必须与各项工作合作,实现持续集成/交付/部署,并提供积极消除软件供应链中各种限制(如许可等待时间)的 *** 。

4. 文化很重要

开发、运维和以前的做法***不同,就是对协作的强调。这是一种分享共同目标以有所成的文化思维,也是代表业务而非技术产出的标尺。安全应该融入减少风险的协同努力,而不是表现得像是疏离在外的批评者。

5. 反馈是创新的源泉

实验和学习对开发、运营和维护非常重要,这需要足够的反馈,特别是来自业务部门。反馈需要暴露给每个人,以便进行改进和更大的创新,但这也需要类似的“无可争议的解剖”为了改进系统,安全文化必须避免成为指责文化。

6. 自动化可以帮助

自动化带来了更快、更方便、更高质量的交付。工具是开发运维的力量倍增器,但不是它的基础。自动化不能加强合作,但确实可以使合作更加方便。开发运维工具链中应包含用于测试、认证或监控的安全工具,其输出应广泛共享以形成改进。

2017信息安全团队与开发、运维携手共建,成为业务等IT部门更好的合作伙伴一年。公司依靠这种能力进行更快的创新,保持更低的风险,抓住机遇,承受数字压力。

   
版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。