Сектор предприятий имеет приоритетную безопасность, защиту данных и зрелость, а не скорость. Поиск способа практики культуры DevOps в среде с высокой безопасности стал новой задачей для многих практиков по безопасности.
Вот что я узнал после многих лет в строительстве и эксплуатации DevSecops
Часть I — сухой: строительство вашего стандарта безопасности.
Различия стандарты сертификации безопасности сосредоточены на конкретных областях. Кроме того, корпоративные компании часто приходится одновременно поддерживать много сертификатов безопасности. Например, банковские и финтех-компании будут поддерживать стандарт ISO 27001 и PCI-DSS. Некоторые из его правил контроля различны, но многие из них описывают те же требования. Практика и управление все это убьет вашу мотивацию.
Попытка найти требования к перекрытию из вашего стандарта безопасности и создать для него внутренний контроль.
Люди : Сохранение усилий по обучению и помощи вашим людям принять внутренний контроль. Участники должны сосредоточиться только на том, чтобы следовать требованиям компании и сократить время для чтения и попытки понимания многих терминов для безопасности.
Процесс : Единый процесс для развертывания в организации и сокращения усилий управления. Процесс картирования позже поможет превратиться из внутренних результатов в отраслевые стандарты
Платформа : Уменьшите сложность строительных наборов инструментов для выполнения и сбора метрик. Поскольку существует множество рекламных роликов и продуктов с открытым исходным кодом, чтобы помочь ускорить, практикующим часто приходится тратить много организационных усилий, чтобы отобразить отчеты и позицию в области безопасности продукта.
(продолжение следует…)
Оригинал: «https://dev.to/ducthinh993/devsecops-built-up-series-part-i-1g9d»