如何讓IT團(tuán)隊(duì)和安全團(tuán)隊(duì)之間更好地進(jìn)行協(xié)作

對(duì)于部門之外的人來(lái)說(shuō)，IT和安全團(tuán)隊(duì)經(jīng)常被混為一談，是處理技術(shù)問(wèn)題的團(tuán)隊(duì)。但其實(shí)IT團(tuán)隊(duì)和安全團(tuán)隊(duì)有不同的任務(wù)和目標(biāo)，甚至他們彼此之間還會(huì)產(chǎn)生沖突，比如迫切的deadline和保證安全之間的“矛盾”。

在過(guò)度簡(jiǎn)化的風(fēng)險(xiǎn)下，IT面臨著巨大的壓力，需要快速行動(dòng)，調(diào)整和推出DevOps。同時(shí)，安全部門的任務(wù)是減輕對(duì)現(xiàn)有產(chǎn)品的威脅，并確保新版本盡可能安全。

如何讓IT團(tuán)隊(duì)和安全團(tuán)隊(duì)之間更好地進(jìn)行協(xié)作?

策略 1: 確定共同的目標(biāo)

有些IT和安全團(tuán)隊(duì)依賴于多個(gè)、不同的、可能相互沖突的工作任務(wù)，工作目標(biāo)很可能導(dǎo)致互相沖突。

兩個(gè)團(tuán)隊(duì)都有不同的任務(wù)，但可以通過(guò)協(xié)調(diào)來(lái)達(dá)到共識(shí)，一起為共同的目標(biāo)來(lái)工作。

策略 2：擁抱DevSecOps

DevSecOps并不是簡(jiǎn)單地將安全性拋到DevOps中。而是進(jìn)行一個(gè)從根本上的轉(zhuǎn)變，通過(guò)調(diào)整優(yōu)先級(jí)，安全從一開(kāi)始就成為DevOps處理和集成不可或缺的部分。

采用DevSecOps還可以確保安全不會(huì)因?yàn)樵陂_(kāi)發(fā)后期介入而減緩進(jìn)度，確保安全性不會(huì)拖慢開(kāi)發(fā)速度。它還有助于確保IT團(tuán)隊(duì)不會(huì)推出可能存在安全漏洞、影響安全團(tuán)隊(duì)目標(biāo)的產(chǎn)品，從而提高安全性。因?yàn)樵贒evSecOps過(guò)程中，一系列安全測(cè)試，如靜態(tài)代碼檢測(cè)、動(dòng)態(tài)測(cè)試及交互式測(cè)試等，可以在開(kāi)發(fā)的同時(shí)及時(shí)發(fā)現(xiàn)代碼缺陷及可能存在的安全漏洞，從而盡快調(diào)整修復(fù)。

策略 3：創(chuàng)建上下文

即使是最強(qiáng)大的IT團(tuán)隊(duì)，打補(bǔ)丁也是一項(xiàng)艱巨的任務(wù)。在沒(méi)有安全上下文的情況下打補(bǔ)丁是一件非常忙碌的工作。基于風(fēng)險(xiǎn)的漏洞管理在威脅檢測(cè)和補(bǔ)救方面有很大的不同，通過(guò)創(chuàng)建基于風(fēng)險(xiǎn)的自動(dòng)情報(bào)來(lái)創(chuàng)建上下文，可以確保團(tuán)隊(duì)在正確的時(shí)間專注于正確的威脅。

當(dāng)兩個(gè)團(tuán)隊(duì)通過(guò)正確的策略來(lái)工作時(shí)，IT 和安全性可以相互提升，而不是發(fā)生沖突。