Open in app

Sign in

Write

Sign in

理解DevSecOps的效益

隨著企業比以往更快、更頻繁地部署代碼,新的漏洞也加速出現。 當老闆說「用更少的錢做更多的事」時,DevOps 實踐將業務和安全價值作為一個不可或缺的戰略組成部分增加了。 以市場速度提供開發、安全和維運應該是任何現代企業的重要組成部分。

本文將討論DevSecOps 如何提供商業價值、增強我們的商業機會以及提高企業價值。 DevSecOps 核心原則可以支持組織轉型、提高生產力、降低風險並優化資源使用

本系列文章將解釋了 DevOps 安全實踐與其他方法的不同之處,然後提供將變更應用於組織所需的教育。 我們將討論 DevSecOps 的目的、效益、概念、詞彙和應用。 最重要的是,我們將了解 DevSecOps 角色如何適應 DevOps 文化和組織。我們最後將會了解“安全即代碼(security as code)”,使安全和合規價值可作為服務使用。

DevSecOps宣言

軟體的開發、發布與佈署是"安全(Sec)與快速的(Ops)"。透過"安全及代碼(Security as Code)",我們已經並將了解到,對於像我們這樣的安全從業者來說,有一種更好的方式來以更少的摩擦來運作和貢獻價值。 我們知道我們必須快速調整我們的方式並加快創新,以確保資料安全和隱私問題不會因為我們改變得太慢而被擱置。

DevSecOps的目標

Safely distributed security decisions at speed and scale

DevSecOps的價值

  • 建立安全性而不是固定性的
  • 更依賴授權的開發團隊而不是安全專家
  • 比單純的安全功能更安全地實現功能
  • 使用工具作為回饋,學習的不僅是階段末的檢查點
  • 建立在文化變革之上,而不是政策執行之上

DevSecOps的五項原則

  • 文化:
    所有技術團隊都有安全責任; 安全是每個人的工作。 所有人都要理解端到端系統並定期協作以建立信任
  • 自動化:
    自動化利用戰略性地使用編排(Orchestration)和自動化的作業和流程來幫助確保安全,這些作業和流程在手動作業時會存在安全漏洞,並且自動化可以增強安全實踐
  • 精實(Lean):
    安全性不是價值流中的限制,團隊也不會等待安全活動發生-流程得到了最佳化。 透過共享的積壓作業可以看到作業進度(也就是作業的可視化)。
  • 量測:
    理解安全事故的代價,共享業務和攻擊,並遵循以價值流為中心的方法來優化週期時間並確保不會因安全而造成延遲
  • 共享:
    資安工程師和軟體工程師能交叉技能並協作以實現知識自動化。 整體背景脈絡透過Wikis等KM平台、每日站立會議和日常活動共享。

三步工作法

  1. 流程(Flow) — 系統性思考
    確保安全性不會成為工作流程的限制 — 將安全測試盡可能轉移到流程的左側並自動化。 使用已確認的安全函式庫庫,像價值流一樣思考並建立相互問責制
  2. 回饋(Feedback) — 放大反饋循環
    透過自動化安全測試確保快速回饋,包括流程早期的安全性(產品Demo中的安全性)以及建立持續的Peer-to-Peer對話。 使用遙測(Telemetry)和可觀測性(Observability)。
  3. 持續實驗與學習 — 建立此種文化
    確保安全人員和軟體工程師具備交叉技能。 分配時間讓他們坐下來一起工作,互相學習。 鼓勵記錄和分享經驗 — — 好的和壞的。

其他與DevSecOps相關的框架

Scrum

Scrum是一種基於固定時間區間的迭代(Iterations),並且有3種角色 + 3種工件(Artifacts)+ 5種事件(Events)等元素。

角色:

  1. 開發團隊
  2. 產品負責人(或產品經理)
  3. Scrum Master

工件:

  1. 產品待辦事項(Product backlog)
  2. 衝刺作業待辦事項(Sprint Backlog)
  3. 增量(Increment)

事件:

  1. Sprint Planning Meeting (4–8小時),例如發布規劃會議
  2. Daily Scrum (15分鐘)
  3. Sprint(2–4周),一旦確認週期將不容修改
  4. Sprint Review (2–4小時)
  5. Sprint Retrospective (1.5–3小時)

精實與價值流思維

在 DevSecOps 中,我們使用精實和價值流思維來確保不會因為安全這一項作業導致整個開發週期時間的浪費或延遲 — 它不是一種約束,也不會中斷流程。因為:

  • 精實的精神在於消除浪費與聚焦客戶
  • 精實讓作業是可見的
  • 價值流思維從想法開始並追蹤它直到其價值被實現
  • 週期時間(Cycle Time)是關鍵指標
  • 價值流程圖是一種精實工具,他協助我們辨識工作流程中的限制
  • 價值流管理工具促進持續的調查與適應

DevSecOps的成果

  • 更好的價值來自更快與更安全還有快樂的員工
  • 內建的安全性
  • 三步工作法:流程、回饋與持續的學習跟實驗
  • 敏捷:透明、檢查與適應
  • 精實:消除浪費、流程優化與聚焦客戶
  • ITSM : 營運是可預測的
  • 安心的文化:從事故中學習
  • 高績效的組織
資訊安全
Devsecops

--

--

運用"雲端服務"加速企業的數位轉型願景
運用"雲端服務"加速企業的數位轉型願景

Written by 運用"雲端服務"加速企業的數位轉型願景

405 Followers
1 Following

我們協助您駕馭名為"雲端運算"的怪獸,馴服它為您所用。諮詢請來信jason.kao@suros.com.tw. https://facebook.com/jason.kao.for.cloud

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams