Безопасность — это работа в каждой (6 целых серия)
Предыдущая статья в этой серии — здесь Отказ
В этом посте мы исследуем 3 способа девеса Отказ Но во-первых, определение.
Devsecops — безопасность приложений, скорректированная для среды DEVOPS.
Devsecops — это деятельность в области безопасности, которые выполняют профессионалы безопасности приложений, чтобы обеспечить безопасность систем, созданных методами DevOps. Это то же самое, что мы (Appsec профессионалы) всегда сделали, с новым поворотом. Спасибо Имран!
Фото Марвин Мейер на Бессмысленно
Опораться на три способа: Подчеркните эффективность всей системы, а не только ваша часть. Быстрая петли обратной связи. Непрерывное обучение, риск принимает и эксперименты (не удастся быстро)
Давайте копать, будем ли мы?
- Подчеркните эффективность всей системы, а не только одна часть.
Это означает, что безопасность не может замедлить или остановить весь трубопровод (разбить сборку/блок выпуск), если только это не аварийно. Это означает, что безопасность обучения спринтом, так же, как OPS и Dev делает. Это означает, что сосредоточение внимания на улучшении всех потоков стоимости и совместное использование того, насколько защищенным окончательным продуктом предлагает ценность всем другим парам. Это означает установку мероприятий безопасности в процессы Dev и Ops и убедившись, что мы быстрым.
- Быстрая петли обратной связи.
Быстрая обратная связь (в безопасности приложения)
Нажатие или смещение «влево» означает начальную безопасность ранее в жизненном цикле разработки системы (SDLC). Мы хотим, чтобы мероприятия по безопасности произойдут раньше, чтобы обеспечить обратную связь ранее, что означает, что эта цель на 100% входит в соответствии с тем, что мы хотим. Целью мероприятий по безопасности должно быть сокращение и усиление петлей обратной связи, поэтому недостатки безопасности (проблемы с проектированием/архитектурой) и ошибки (проблемы с кодом/реализацией) являются закрепленными как можно раньше, когда это быстрее, дешевле и легче сделать лучшую работу.
- Непрерывное обучение, риск принимает и эксперименты для большинства команд безопасности это означает серьезную смену культуры; Моя любимая вещь. Infosec действительно нуждается в некоторых изменениях культуры. По факту, Все это делает (включая dev and ops), если мы хотим сделать безопасность всей работы.
Часть третьего пути:
- Время выделения для улучшения повседневной работы
- Создание ритуалов, которые награждают команду для рисков: праздновать успехи
- Внесение неисправностей в систему для повышения устойчивости: упражнения по красной команде
Мы собираемся углубиться в каждый из трех способов в течение следующих нескольких статей, изучая несколько способов, которыми мы можем протереть безопасность через процессы DevOps, чтобы гарантировать, что мы создаем более безопасное программное обеспечение, не нарушая поток.
Для этого и больше, проверьте мою книгу, Алиса и Боб изучают безопасность приложения и моя онлайн-академия обучения, Мы взломаем фиолетовое !
Безопасность — это работа в каждой (6 целых серия)
Оригинал: «https://dev.to/shehackspurple/security-is-everybody-s-job-part-4-what-is-devsecops-lcb»