远程办公中的SecDevOps

举报
kaliarch 发表于 2022/08/19 22:45:48 2022/08/19
【摘要】 虽然SecDevOps–将安全集成到开发过程中–作为更广泛的DevSecOps运动的延伸而日益突出,然而,由于新冠肺炎,向远程工作的快速转移凸显了SecDevOps成功应用程序安全部署和开发发布周期整体健康的必要性,这是加速向云过渡以完成许多DevOps举措的一部分。尤其是当企业认识到他们更喜欢安全和开发之间的共享应用程序安全模型时,缺乏适当的自动化导致许多开发团队在试图拥有其工作流程中应用...

虽然SecDevOps–将安全集成到开发过程中–作为更广泛的DevSecOps运动的延伸而日益突出,然而,由于新冠肺炎,向远程工作的快速转移凸显了SecDevOps成功应用程序安全部署和开发发布周期整体健康的必要性,这是加速向云过渡以完成许多DevOps举措的一部分。尤其是当企业认识到他们更喜欢安全和开发之间的共享应用程序安全模型时,缺乏适当的自动化导致许多开发团队在试图拥有其工作流程中应用程序安全的日常管理时感到紧张–由于新冠肺炎,快速转向在家工作,这一挑战更加复杂。

开发更加繁忙

在新型冠状病毒(新冠肺炎)成为主流后,一切似乎都放缓了–一切都是为了发展。GitHub不断地帮助他们的公司和客户满足新的常态,GitHub报告称,开发人员的活动与Covid之前处于相同或更高的水平。这意味着他们正在发布更多的代码来满足快速变化的需求,但如果没有很好的集成,AppSec可能会无意中给业务带来风险。你不必看得更远,除了成为每个人日常词汇的一部分的工具,就能看到没有SecDevOps的快速运输如何会产生无意的结果。
SecDevOps帮助AppSec和DevOps团队管理开发活动的波动,因为其过程自动化确保应用程序安全策略的一致部署,以保持团队的同步,防止瓶颈–当冲突确实出现时,简化补救和验收工作流程。这也意味着他们不必依赖提交和发布之间的漫长缓冲,开发和安全团队经常使用这种缓冲来将安全性“适应”到发布周期中,这意味着他们可以更快地将新特性推向市场。

工作节奏发生了变化

随着团队从办公大楼的喧嚣转向厨房桌子、扶手椅或备用卧室,团队被迫以新的方式管理他们的开发节奏。事实上,标准的9-5工作时间表已经过时,这意味着您不能再依赖AppSec的“人”因素了。“应该应用哪些策略?”“这是否通过AppSec控制来运送?”只是在正常工作日中可以询问和回答的一些问题–但随着员工适应新的时间表,使他们在个人和职业生活中发挥最大的效率,等待这些响应会造成瓶颈,甚至更糟,导致人们围绕应用程序安全标准工作。
SecDevOps为开发团队提供了在工作流中管理AppSec的自主权,这样他们就不必担心被与其他人不同的时间表所耽误–无论是寻找为他们的项目实现的正确策略,还是理解在代码发布之前需要修复哪些漏洞(以及哪些漏洞可以等待)。这使得项目经理能够实时地关注他们的安全任务和影响他们项目的问题,并了解他们需要完成的时间表,而不必追踪AppSec经理。当AppSec经理上线时,她会立即了解优先任务是什么,以确保应用程序符合其安全标准,并帮助开发团队继续发货。

远程工作时的策略部署

当世界从隔间转移到厨房餐桌时,一夜之间就导致了AppSec政策的大规模外流。但这并不像部署新的那么简单–没有SecDevOps,安全和开发团队无法:

  • 确定哪些项目受到政策变化的影响,并通知利益相关者
  • 了解这些更改如何影响它们的整体应用程序安全状况
  • 持续监控新政策的覆盖范围和效力

有了SecDevOps,应用程序的安全性从设计开始,它不仅通知开发团队正确的策略是什么,而且当策略发生变化时,使他们了解最新的标准。此外,这意味着AppSec经理不需要追踪PMs来通知他们更改,而是可以花时间帮助团队满足新的标准,以防止新的风险引入业务,而不会中断开发速度。

真正的底线ROI

随着新冠肺炎之后的业务中断,所有行业的企业都在寻找夺回损失的美元的方法。这意味着用他们已经拥有的东西做更多的事情:他们的员工和他们的工具。如果没有与SDLC的端到端集成,AppSec部署通常会拖累生产率,并难以显示高ROI。有了SecDevOps,开发团队不仅可以通过将安全性作为工作流的一部分进行主动管理来获得生产率的提高,而不是等到代码已经投入生产,这可能会增加高达100倍的成本。此外,项目经理得到预测分析,以计划潜在的瓶颈,以降低项目交付的风险。
安全团队的生产率也有很大提高,因为SecDevOps使他们的资源能够将注意力集中在最需要帮助的地方,可以看到策略的覆盖范围和有效性,以及轻松更新策略并知道它们将在这个不断发展的远程工作环境中被推广到正确的项目的能力。它还确保他们在扫描时间表的一致部署中获得他们投资的工具的全部价值,而不是将它们作为掩蔽物。

倦怠是真实存在的

在家工作的好处是你可以随时工作。但由于目前有多余的工作要做,有时团队成员更少,这意味着团队有时会被从日出到日落的工作所淹没。尽管对一些人来说,工作过剩可能意味着更多的工作保障,但当工作量看不到尽头时,这种外表会随着时间的推移慢慢腐蚀,让位于倦怠。
对于开发和安全专业人员来说,工作倦怠总是一个很大的问题,其中一个很大的原因是处理非功能性的需求(例如,无聊的清理任务)。SecDevOps使AppSec经理能够将他们的时间花在战略任务上,如提高策略效力和覆盖率,并成为开发团队的战略顾问,而不是整理无休止的安全测试结果并向开发团队传递坏消息。对于开发团队来说,更好地将安全集成到他们的管道中意味着在该发布的时候没有什么意外,并更好地管理他们的安全债务,腾出时间来开发推动产品和公司前进的创新功能。

在家工作的好处是你可以随时工作。但由于目前有多余的工作要做,有时团队成员更少,这意味着团队有时会被从日出到日落的工作所淹没。尽管对一些人来说,工作过剩可能意味着更多的工作保障,但当工作量看不到尽头时,这种外表会随着时间的推移慢慢腐蚀,让位于倦怠。
对于开发和安全专业人员来说,工作倦怠总是一个很大的问题,其中一个很大的原因是处理非功能性的需求(例如,无聊的清理任务)。SecDevOps使AppSec经理能够将他们的时间花在战略任务上,如提高策略效力和覆盖率,并成为开发团队的战略顾问,而不是整理无休止的安全测试结果并向开发团队传递坏消息。对于开发团队来说,更好地将安全集成到他们的管道中意味着在该发布的时候没有什么意外,并更好地管理他们的安全债务,腾出时间来开发推动产品和公司前进的创新功能。

用SecDevOps为未来的远程工作做准备

当公司为正在进行的远程工作做准备时,SecDevOps防止由于AppSec而导致的业务中断–无论业务中断程度如何。SecDevOps在本地处理远程工作,因为它对过程自动化的关注确保了开发周期中应用程序安全性的一致部署,并且应该成为支持向分布式开发团队过渡的任何举措的一部分。
一旦AppSec和DevOps团队的合并完成,流程的基础层就位,组织就可以在不牺牲安全漏洞的情况下变得更加敏捷和高效。如果许多组织利用SecDevOps的许多优点,以一种全新的(远程)方式开始协作,就可以适应这种未来。通过这种方式,SecDevOps允许团队在他们的行业中不断突破边界,即使物理协作的边界显然是短期等式的一部分。

【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。