DevSecOps的下沉
时间:2022-04-12 03:09:01 | 来源:行业动态
时间:2022-04-12 03:09:01 来源:行业动态
蒋帆认为,DevSecOps不能悬在空中,需要下沉,将安全工作进行全方位的内建是必然的趋势。也就是我们常说的左移和右移,这样DevSecOps实践、平台和工具能够软件生命周期的各个环节。
所谓左移和右移是相对于软件生命周期而言,向左即是朝着业务设计、项目启动、需求梳理以及开发阶段移动,向右是向着软件的零信任架构内部、部署运行和维护阶段移动。而中间就是当前常规安全审核与检测工作本来所处的阶段。这正体现了安全工作的全面渗透,而并不是待在一个点上等着作为守门员的角色而出现。蒋帆说。
应该说,安全工作的全方位内建不光要将工具纳入到各个生命周期环节中,还要有方法体系进行指导。而ThoughtWorks最近两期的技术雷达在实践、平台和技术都体现了DevSecOps工作左移和右移的趋势。
蒋帆说,企业需要将安全工作下沉到开发团队或者运维团队,并配备相应的DevSecOps工具平台。而且企业需要有权责一体的角色定义,让开发运维团队构建起对安全的认知,提升在安全方面的能力水平。
在推动DevSecOps工作的时候,很多企业都成立了独立的安全团队,不过开发团队本身缺乏安全问题的一些意识认知、必要知识和上下文,而安全团队缺乏软件的架构和业务上下文。因此在这个问题的处理上就容易产生一系列的分歧,例如业务优先级、如何修复等等。
DevSecOps上的安全流水线不是单纯由开发团队负责或安全团队负责。代码和流水线所有权的分离同样是一种守门员的心态而非内建心态。安全专家应该融入团队进行各种上下文互相融合提供更好的解决方案,而不应该划定非常割裂的边界,不同角色安全的职责边界是存在交叉区域的,否则反而会阻碍安全工作的内建。
在线咨询
