保護(hù) DevOps 的 5 個技巧

對組織來說，構(gòu)建一個堅實的基礎(chǔ)和框架是DevOps取得成功的重要條件之一。

三個基本需求

1. 領(lǐng)導(dǎo)和管制

在需要做出決策的時候，領(lǐng)導(dǎo)負(fù)責(zé)帶領(lǐng)團(tuán)隊提供指導(dǎo)和運營治理。尤其在面對頻繁地軟件部署及更新迭代時，同樣面臨與自動化有關(guān)的安全、監(jiān)管和其他問題。如何平衡速度與安全的優(yōu)先級?這仍然是當(dāng)今采用DevOps實踐的組織所面臨的主要挑戰(zhàn)之一。

建立有關(guān)人員和數(shù)據(jù)的組織領(lǐng)導(dǎo)和治理，以確保人們在正確的事情上工作，保持士氣，為項目優(yōu)先級提供方向，并為完成工作的正確工具做出預(yù)判。

2. 監(jiān)管合規(guī)

隨著現(xiàn)在對數(shù)據(jù)安全治理更加嚴(yán)格，對于數(shù)據(jù)傳輸尤其跨境傳輸更需要謹(jǐn)慎對待。確定監(jiān)管需求，人們或其他服務(wù)從哪里訪問數(shù)據(jù)? 涉及哪些跨境轉(zhuǎn)賬?

3. 風(fēng)險管理

風(fēng)險管理是技術(shù)管理中的一個基礎(chǔ)問題，如果發(fā)生數(shù)據(jù)入侵或泄露會造成哪些損失?

產(chǎn)品或服務(wù)存在哪些技術(shù)漏洞、威脅和風(fēng)險?需要什么樣的安全測試，如靜態(tài)/動態(tài)測試，滲透測試等。發(fā)現(xiàn)漏洞后如何采取修復(fù)或打補丁的措施?

在人事方面，在關(guān)鍵人員離開時是是否會帶來潛在風(fēng)險?采取哪些措施來應(yīng)對這些風(fēng)險?包括第三方、合同和隱私風(fēng)險。

開源軟件的使用呈增長趨勢，對于其中的安全隱患同樣不能掉以輕心。

兩個框架活動

1. 軟件開發(fā)生命周期 (SDLC)

SDLC至關(guān)重要。SDLC涉及所有的人員(團(tuán)隊、承包商、顧問)進(jìn)行產(chǎn)品的設(shè)計和實現(xiàn)，包括使用什么模型，負(fù)責(zé)哪部分內(nèi)容。當(dāng)前API的使用在各種行業(yè)(包括包括醫(yī)療保健和零售)中大幅增加，API的使用也成為SDLC的一部分。

以下是在安全上需要具備的具體幾個方面：

● 威脅建模。

● 測試。回歸測試、壓力測試、滲透測試、安全性測試。

● 安全編碼。在軟件開發(fā)完成后返回修復(fù)代碼缺陷讓人頭大，必要的代碼檢測可以降低軟件中涉及的風(fēng)險及合規(guī)問題。

2. 培訓(xùn)

客戶需求不斷變化企業(yè)的技術(shù)也在不斷更新，培訓(xùn)讓組織人員提高安全編碼水平、威脅和安全意識以及專業(yè)聲譽。

實施DevOps模型一旦建立了基礎(chǔ)，就需要大量的工作、時間和金錢來進(jìn)行重構(gòu)或改變，因此在一開始構(gòu)建模型時需要進(jìn)行適當(dāng)?shù)目紤]來制定正確的路線。

DevOps模型的各方面可能會隨著時間的推移而改變，有新技術(shù)、新員工、業(yè)務(wù)變化、客戶需求以及社會和文化的轉(zhuǎn)變。這些變化無法提前預(yù)見，因此需要根據(jù)情況進(jìn)行必要的調(diào)整。

來源：

https://devops.com/5-tips-for-securing-devops-what-you-wish-you-knew-sooner/