提高 DevOps 和安全团队协作的秘诀

关键要点

现代组织依赖于快速的产品创新，同时又需要高效且安全的软件开发和交付。随着网络犯罪预计到2025年将达到105万亿美元，公司必须在软件开发生命周期(SDLC)中插入安全检查点。DevOps和安全团队之间的有效协作是至关重要的，通过适当的工具和政策，可以在不增加开发人员负担的情况下提升安全性。

现代组织的成功依赖于迅速的市场产品创新，这要求实现高效安全的软件开发和交付。然而，确保在高效的情况下进行安全交付是一个巨大的挑战。网络犯罪预计到2025年将达到105万亿。公司必须为一些被忽视的过程，如软件开发生命周期(SDLC)，插入安全检查点。

如果在代码完成后才检测到代码缺陷，这对开发过程来说是一个巨大的打击，因为这将打断流程并影响生产力，可能需要重做数月的开发工作。因此，DevOps与安全团队的密切合作显得尤为重要。以下是提高DevOps与安全团队协作的三条基本原则：

原则描述赋能DevOps，而非增加负担在软件开发过程中，至关重要的是要在整个过程中集成安全性，这使得公司能更有效地避免因安全漏洞带来的财务、声誉和法律损失。一项最近的企业战略组织研究发现，35的受访者表示他们发布的生产代码中存在已知漏洞，45发布的软件没有经过任何测试和/或安全检查。传统的Shift Left思想使开发人员承担了更多任务如安全和成本管理但却给他们增加了负担。Shift Left并不是让DevOps增加安全工作责任，而是将信息向左转移。在开发人员编码时更早地提出安全编码指南，让开发者在整个编码过程中获得相关信息，以便及时捕捉和修复漏洞，同时遵守合规要求。应用治理以快速且安全地推进监管机构要求企业跟踪和记录其安全措施的合规性举措处理，不应在开发人员已有的责任上增加文档任务。要成功实施治理，必须使开发人员更容易地正确编码。寻找能够让不同团队共享各自专业知识的平台，成为单一真相来源。这些工具可以在产品开发的相关节点提供必要的指导和漏洞更新。组织还可以通过代码政策来执行和跟踪已批准的软件安全扫描器的使用。这有助于标准化扫描工具的使用，同时使合规审计更快、更轻松。为团队提供熟悉的工具随着云原生技术和开源组件在应用程序中的普及，我们必须更新安全工具和流程，以跟上变化的速度。传统的安全工具和流程太笨重，导致现代环境中的效率降低。寻找可以让团队使用熟悉工具的工具，而平台在后台通过触发警报和建议来进行工作。将AI融入DevOps平台，可以优化这些自动化策略触发器，并减轻开发人员的一部分工作量。AI辅助操作可以快速分析日志文件，并将错误信息与已知问题关联，从而帮助开发人员迅速排除部署故障，避免手动查看数百万行日志所带来的困扰。

DevSecOps不仅仅是让开发人员进行安全测试。 它是以开发人员优先的思维方式自动化安全，将信息安全参数嵌入到产品构建过程中。最终结果是加速市场上市，同时降低公司及其客户的安全风险。通过在软件开发生命周期中嵌入安全性，公司可以加快软件交付，同时提升安全卫生。

手机加速器梯子

Nick Durkin Harness 现场首席技术官