在构建企业IT系统或调整已经实现的软件产品以满足新需求的漫长过程中,总是会出现额外的、有时是不可预测的任务。它们往往与安全发展的控制和网络安全风险的消除有关。
安全推行资讯科技系统的工作,由DevSecOps方法。DevSecOps旨在改进传统的应用程序开发流程,这意味着程序员编写代码,网络安全专家控制其安全性。
有时,这些相邻的团队之间会产生冲突和纠纷。在推出新产品的过程中,不可能避免它们。它们当然需要一个解决方案。
开发人员常常认为安全人员的存在只是为了阻止他们完成他们的工作。开发人员认为安全建议过于保守,旨在消除极其罕见的、实际上不存在的风险。
反过来,安全人员把程序员视为麻烦制造者,他们什么都不关心,急于让代码运行起来,在需要确保公司的管理、安全和监管控制完全遵守、代码没有风险时,绕过了这一阶段。
这种利益的纠缠最终导致了许多关于事情是如何发生的以及为了达到最佳结果应该做什么的误解。
在这篇文章中,我想强调在我看来,导致对DevSecOps操作的误解的主要原因。
DevSecOps误解
误解1:在准备企业软件进行操作的过程中,合规性和安全性可以划分为不同的阶段。
现实生活中:正如实践所表明的那样,当合规性和安全性需求在软件开发和实现的整个过程中持续时,可以实现对它们最有效的控制。如果公司将合规性和安全性视为一次性事件,那么在这种情况下,它们将不得不多次被审计人员分心。为了处理他们新出现的评论和需求,将分配额外的开发人员,阻止开发人员执行他们的主要任务。损失变得非常有形。当从项目开始就没有定期解决安全问题时,安全官员必须花费大量的时间和精力来识别和阻止可能的风险。这些额外的工作不会给正在创建的软件增加任何明显的产品价值。
误解2:为了解决安全性和遵从性问题,为开发人员配备额外的工具就足够了。
现实生活中:虽然安全性和遵从性工具的使用肯定有助于完成许多任务,但这些软件工具本身通常不能解决底层问题。每一个附加工具的使用都需要适当的资质,并且必须对得到的结果进行分析。之后,建议会形成并传递给产品开发经理。他们应该花时间评估它们的重要性,并为软件实现过程设置优先级。分配的任务将需要由开发人员完成。每一步都需要时间和金钱。此外,辅助工具对生态系统的过度饱和导致其复杂性的增加。更有效的方法是找到一个全面的解决方案,而不是一堆工具。这将减少潜在的故障点,并提供对公司安全态势的整体看法。
误解3:为了防止不遵从性,培训开发人员就足够了。
现实生活中:很多东西在软件供应链不要发生教练眼中的事情。他们培训的开发人员主要专注于学习新技术并在产品中实现它们。他们愿意研究和实施创新的解决方案,而不是不断地进行安全测试和阅读新的法规。同时,实现安全需求应该成为开发人员的规范。期望他们在其直接职责之外更加勤奋是一种误导。信息安全工作应该融入到工作描述和日常工作中。这将有助于带来创新,并消除怨恨。
误解4:为了解决分歧,在DevOps团队中嵌入一名安全专家就足够了。
现实生活中:毫无疑问,在软件开发团队中拥有安全专家可以帮助程序员更好地理解安全问题。同时,这在很大程度上取决于企业文化和个人关系。在出现分歧的情况下,团队之间的分裂反而可能加剧。
误解5:小公司不会吸引严重的网络罪犯。
现实生活中:网络安全威胁的增长主要不是因为目标公司的规模及其在市场上的受欢迎程度,而是因为现代网络攻击可能造成的财务损失的增加,例如网络钓鱼或网络攻击细胞跟踪应用程序这有助于窃取机密的商业信息或个人数据。没有一家公司能感到完全安全。即使对小公司来说,网络犯罪造成的损失也是相当大的。
误区6:在实现自动化工具时,安全级别会提高,从而确保更高级别的遵从性。
现实生活中:许多自动化工具只是执行特定任务的针对性解决方案。它们不提供端到端自动化。当然,如果部署了这样的工具,受自动化影响的软件发布过程的某些部分会变得更加安全。然而,其他阶段的安全缺陷并没有消失。减少对它们的关注会降低总体的安全水平。努力实现整个流水线的自动化是必要的。
误解七:实现DevSecOps将解决大多数问题。
现实生活中:为了迎接DevSecOps的挑战,仅仅雇佣了解现有需求的员工是不够的。开发人员和安全专家团队之间经常会出现矛盾,解决矛盾需要领导的参与。否则,分歧可能演变成严重的冲突。要解决纠纷,仅仅重新安排生产阶段是不够的。有必要…建立特殊的文化在公司内部,让所有参与者明白安全是他们每个人的首要任务。
结论
为了有效地解决这一问题,需要依赖复杂的端到端软件管道。在低风险的渐进交付环境中,开发人员有能力创建。与此同时,安全专家获得了治理和安全性。端到端管道满足两个团队,并解决可能的分歧。有了共享的管道平台,开发和安全团队的所有成员对整个开发过程都有了更高的可视性和控制力,同时感觉自己对安全负有责任。这一结论可能对所有级别的公司都不是最优的。最有可能的是,它将适合大公司。与此同时,所提出的一组误解对小型组织也有好处。我希望本文将帮助他们更好地理解他们的过程,并更有效地解决安全性和遵从性的挑战。
亚历克斯Vakulov是一名网络安全研究员,拥有超过20年的恶意软件分析经验和强大的恶意软件移除技能。
没有发现记录