“开发人员在DevOps领域做了惊人的工作,而安全并没有跟上他们的步伐。DevOps放慢速度是不可行的,因此安全需要加强。这说起来容易做起来难,因为这需要软件交付团队和安全团队合作方式的文化转变。”
《DevOps实践指南》介绍了DevOps三步工作法:流动、反馈和持续实验和学习,帮助组织进行DevOps转型。而在《DevSecOps:A leader’s guide to producing secure software without compromising flow, feedback and continuous improvement》一书中,作者Glenn Wilson提出了DevSecOps的三层方法论:
-
安全教育(Security Education)
-
通过设计保证安全(Secure By Design)
-
安全自动化(Security Automation)
第一层 安全教育。描述可以在组织内提供教育的各种方式,以促进对安全的深刻理解。讨论了为团队提供的不同学习方法,从游戏化在线培训到举办锦标赛,以及建立security champion角色,让人们将理论付诸实践。
第二层 通过设计保证安全。侧重于解决方案的设计方面,工程师必须在工作中应用最佳开发人员实践,以将安全设计到他们开发的应用程序和服务以及托管这些产品的基础设施中。
第三层 安全自动化。介绍了各种应用程序安全测试工具以及多种集成基础设施代码测试自动化的方法,并且引入了安全测试金字塔概念,还探索了DevOps 框架内的告警、监控和漏洞管理。
通过DevSecOps 的三层方法,将安全文化和安全实践嵌入到组织中,将安全放在DevOps的最前面,以创建DevSecOps。可以帮助决策者将安全集成到 DevOps 三步工作法中,提高组织开发的产品的安全性。
【译者说明】
本书翻译工作为公益性质的学习目的,由DevSecOps联盟 OXFE1FE1独立翻译,以期把DevSecOps的最佳实践分享给业界。
【下载地址】
https://pan.baidu.com/s/1PA96esTzuz9PA0-D1N_Njw 提取码: gibk
声明:本文来自DevSecOps联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。