DevOps изменил количество организаций, занимающихся разработкой программного обеспечения.
В то же время организации сталкиваются с трудностями в том, как наилучшим образом управлять цифровыми рисками.
Важно иметь стратегический подход к обеспечению безопасности DevOps.
Вот три ключевых совета относительно того, что делать и чего избегать при реализации безопасности в жизненном цикле DevOps.
Целостный подход. Рассмотрим сквозной поток создания. Ваш продукт – это не просто исходный код; это пакеты, образы и конфигурации, работающие в производственной среде. Необходимо обеспечить безопасность во всем потоке создания: от архитектуры и исходного кода до сторонних компонентов, построения конвейера и операционных сред.
Сдвиг влево. Вопросы безопасности – это бомба замедленного действия. Стоимость исправления увеличивается в несколько раз на каждом этапе потока создания продукта. Внедрение процессов, направленных на выявление потенциальных проблем безопасности как можно раньше, улучшает поток, решая проблемы в точке их возникновения.
Оптимизировать по скорости. Средства управления безопасностью, которые значительно замедляют доставку продукта, не будут существовать долго. Автоматизируйте все, что может быть автоматизировано. Поскольку автономия признается в качестве одного из краеугольных камней эффективного проектирования, роль профессионалов в области безопасности становится в большей степени фактором, который несет основную ответственность за безопасность продукта, за счет разработки и эксплуатации. Так как большая скорость – это задача, требующая от нас переосмысления безопасности, это также и благословение. Когда вновь обнаруженная проблема безопасности может быть устранена, а исправление внедрено в течение дня (или часов!), уязвимость значительно снижается.
Чтобы программа по обеспечению безопасности была эффективной, она должна быть тесно связана с целями организации.
Компании используют DevOps для увеличения скорости и более быстрой доставки продукта клиентам.
Поэтому важно, чтобы процессы безопасности поддерживали эти цели, чтобы обеспечить безопасность потока поставки программного обеспечения для безопасных цифровых инноваций.
