提升技巧“Sec” part of DevSecOps

实现目标的最大障碍 开发安全 云数据平台提供商CISO詹姆斯·阿伦(James Arlen)说,人们一直认为“秒”已经不是“开发”和“运营”的一部分 艾文。同样,需要明确指出这一事实本身本身就是一个障碍。

aa

“以我的经验,这是由于‘我来自安全部门,我来这里是为了拯救您’不断渗透到安全行业的心态,克服这一问题的唯一方法就是谦虚地对待自己,” he noted.

“在过去的20年中,安全实际上并没有花时间做好‘security things’而且我们没有很强的立场说我们拥有所有答案。我知道这听起来相对简单,但这确实是采取初学者思路并与开发人员,运营商和DevOps员工合作以了解他们的观点,然后应用特定于域的安全知识的情况。”

秒urity needs humility

Arlen在信息安全行业中度过了大部分职业,并担任过各种职务–从防火墙操作员到CISO–在小型初创公司,大型上市公司中,甚至在政府部门中。

He’还是《云安全联盟针对云计算关键领域的指南》和相关的《云安全知识证书》的主要作者之一。

在DevOps方面,他具有系统管理员的经验,并在云平台即服务公司的超大规模环境方面领导SRE和生产工程团队长达数年。 赫鲁库 (Salesforce的子公司)。

当他说使安全性在其他业务流程中成为协作功能的最佳方法是停止将安全性视为特殊的要求之集“只能从宫殿带给农民” I can’忍不住笑了,但他坚持认为,由于安全人员的轻率态度,他看到许多组织都经历了负面的结果。

“谦虚,与其他利益相关者一起工作,并记住安全是当务之急,但并非总是如此,” he advised.

让开发人员加入DevSecOps

这里’s another of Arlen’推动开发人员优先考虑安全性的提示:不再谈论安全性!

“如果有事情,作为安全人员,您会称其为‘vulnerability,’随便说一句话,改用开发人员的语言:这是一个缺陷,” he pointed out.

“开发人员已经被激励去管理代码中的缺陷。允许这些现有的优先级划分和激励工具执行其任务,您将获得所需的安全性结果。”

总而言之,他说改善开发安全结果的主要方法既简单又复杂。

“组织需要停止将安全视为某种特殊的事物。我们曾经谈论过安全性是一项非功能性需求。事实证明,这是一个错误的假设,因为安全性在很大程度上是现代软件的功能。这意味着您需要像其他任何需求一样将其包括在内,并让开发缺陷管理的常规方法接管并完成他们已经做的事情,” he noted.

“将有一些提升要求,以确保您的开发人员理解如何编写验证安全状态的测试(即,一组行使您的用户输入验证模块的测试),但是只要您具备以下条件,这通常就不是什么大问题。通过将安全要求包括在适合团队的那组史诗和故事中,从而在时间上进行此类工作’s sprint budget.”

最后,他指出,实现DevSecOps的最基本要素是“积极的程序控制,”在这里一切都是自动化的,并且一切都必须运行。

“人类只能通过调整控制和编排系统的编程来与DevSecOps环境进行交互,而不是通过‘fixing’任何特定的系统。要支持此功能,将需要短暂的和不可变的(或无服务器的)系统,以及默认的确认:任何与人进行交互会话(命令行)的计算机都是‘dirty’并且必须尽快更换。”

分享这个