每个人都可以使用的有效SecDevOps的方法

实施一个非常好、非常快的公司范围内的安全计划

随着业务向DevOps过渡，领导者面临的最大挑战之一是如何在快速有效地运行的同时确保应用程序和基础设施的安全性。
允许安全和DevOps协同工作的技术和流程的组合被巧妙地称为SecDevOps。许多关于SecDevOps的文章都集中在技术方面的讨论。实际上，对于构建SecDevOps程序来说，没有一个适用于所有人的方法。
所有安全专业人员–及其组织–可以普遍努力的是实施一个项目，使公司能够快速有效地实现安全。
以下是安全专业人员在实施SecDevOps程序时应牢记的一些关键原则，无论其公司或组织的性质如何。

成为谈话的一部分

为了使安全性快速，它必须在组织中得到很好的定位。一个安全团队应该是一个服务提供者，与多个团队和领导者合作。
最古老的安全格言之一是“你不能保护你看不到的东西。”同样，你不能为你不参与的项目提供安全指导和洞察力。
通常情况下，在给定的项目生命周期中，安全团队成员没有足够早地参与进来。这意味着，当安全问题最终摆到桌面上时，安全债务（意味着，安全工作的积压）已经积累起来。“偿还”安全债务的概念在项目延误和集体沮丧中感受到。
由于一个成功的SecDevOps项目涉及到许多团队，因此信息安全必须作为一项战略业务举措被组织所接受。这是很少有人提到的部分：如果这个倡议没有最高层的支持，那么它就不会成功。如果需要的话，作为安全领导者，你的首要任务是引导公司对安全态度的转变。从那以后，目标是让自己参与到新项目的底层。

资源限制通常是快速执行安全性的最大限制因素之一。根据您的组织相对于安全人员的规模，实施安全倡导者的概念有助于缓解人员瓶颈。

将你能做到的自动化

DevOps团队的生存和死亡取决于他们的自动化能力。SecDevOps团队应该没有什么不同。
我参加过的最有效的信息安全团队之一使它成为尽可能多的日常自动化的基石。这使我们能够花更多的时间与内部客户合作，了解新项目的安全需求，并开发新技术来帮助我们解决有趣的挑战。
具备良好的自动化还可以帮助您识别控件何时失败。控制失败应该会中断您构建的自动化管道，并引发额外的调查。越早检测到安全控制中的故障，就越早进行补救。这反过来减少了你的暴露，从而降低了风险。
自动化降低风险是一件非常好的事情。除了自动化安全团队的工作流之外，还有许多可用于将安全集成到软件开发生命周期(SDLC)中的选项–特别是持续集成(CI)和持续交付管道(CD)。

这些工具应该能够识别安全缺陷，触发构建失败，打开票据，并通知安全和开发团队需要调查安全问题。安全和开发之间的这种集体（有些强迫）协作也有助于促进安全作为服务提供者的概念。

利用现有的工具和技术

许多年前，我目睹了一个组织在软件安全工具上投资了将近一百万美元，然后他们把这些投入到他们的（非常大的）软件开发团队中。该公司购买并部署了这些工具，而没有考虑他们的开发团队是如何工作的。正如您可能想象的那样，这导致了采用和操作新安全工具的巨大失败。这个项目最终被完全取消了。
在大多数组织中，信息安全是少数利益相关者。尽管如此，信息安全经常试图引入新的技术和工作流，以保护业务。
通常，这些任务是在不了解依赖的业务单元如何工作的情况下执行的，这与作为服务提供商进行操作是相反的。这总是导致与安全人员计划的完全相反的事情。团队不参与安全活动，而是寻找绕过安全的方法。这对生意来说永远不会有好的结果。
通过理解您的公司使用的工具和技术，就可以获得一些最简单、最有效和最便宜的安全方面的胜利。一旦您掌握了这些知识，就确定将安全性集成和嵌入到现有流程和工作流中的方法。

例如，如果出于安全原因需要修补操作系统，请使用组织现有的票据系统跟踪与安全相关的票据提交、工作流和解决方案。不要使用单独的特定于安全的平台，这会给员工带来学习和采用完全不同于他们已经在其他方面使用的平台的负担。通过使用组织其他成员使用的相同工具，对每个人来说，促进安全胜利的提升要小得多。

总结

作为一名安全专业人员，您是组织的服务提供者。如果希望实现与公司一样快速的安全性，则需要在所有级别上与公司保持同步。这意味着在计划公司范围内的计划时，与同事们在他们已经在的地方见面，并使用他们已经采用的软件和流程。
通过将您的安全策略与现有技术相集成，并将其展示给您的用户，您将成为对话和过程的一部分。这有助于你更快地完成你的任务，获得让你的工作更容易的支持者，最重要的是，在日常事务中保持组织的安全。