DevSecOps旨在将各个方面(即开发,安全性和运营)归为一类,以追求单一目标。DevSecOps的目的是确保从流程开始到维护阶段的开发和运营水平相同。
组织面临许多障碍,例如人员短缺和协作团队之间的众多缺口。
为了减轻这种情况,需要确保从常规实践到复杂的DevOps系统的平稳过渡,并且组织应利用一系列最佳实践来实现DevSecOps:
1)设置DevOps安全模型
采用DevSecOps模型的第一步可能是通过DevOps工作整合身份和访问管理(IAM),网络安全措施,代码审查,配置和治理。
通过为DevOps工作流程的各个阶段分配安全性,可以轻松确保产品的安全发布,并降低产品发布后出现故障,错误修复和召回的可能性。
2)实施治理政策
DevSecOps模型的关键方面之一是设置确保数据保护的治理策略和IT协议。由于组织中的运营不断变化,因此董事会,委员会和官员的角色和职责将受到某种程度的影响。
因此,必须遵循法规和程序来保护数据并确保组织中的透明度,这一点很重要。设置透明度还将有助于打击可疑的内部威胁行为并消除任何损害。
3)安全自动化
在DevOps周期开发阶段,安全团队需要快速灵活地确保高安全性,这需要自动化以减少错误并实现最高效率。通过漏洞测试和特权管理,组织可以节省资源,减少工作时间和成本。
4)针对开发人员的培训
在采用DevSecOps时,最大的挑战之一就是要从利益相关者那里获得100%的合作。诸如开发,运营和安全职能之类的各个团队都在各自的仓库中,传播他们的议程并排成一列。
在理解安全编码方面,找到合适的投资金额并从开发团队那里抽出时间是一个巨大的挑战。
5)细分策略
实现DevSecOps的另一种方法是通过分段策略消除黑客和攻击者。这是采用分而治之策略的好方法。对应用程序资源服务器的访问受到限制,并解决了源于连续工作流的问题。
因此,将网络划分为多个部分,使黑客/攻击者极难一次非法访问数据。这是降低黑客威胁并将错误保持在微不足道的强大技术。
6)选择性行政权
降低内部威胁并减少错误的最佳方法之一就是将特权保持在最低水平。这有助于将单方可访问的数据量保持在最低水平。这也是帮助本地计算机存储必要数据以调节访问权限的好方法。
读完这篇文章受到了不少启发,翻译整理分享。原文链接:https://www.veritis.com/blog/what-are-the-best-devsecops-practices-for-security-and-balance-agility/