保護 DevOps 的 5 個技巧

語言: CN / TW / HK

對組織來説,構建一個堅實的基礎和框架是DevOps取得成功的重要條件之一。

三個基本需求

1. 領導和管制

在需要做出決策的時候,領導負責帶領團隊提供指導和運營治理。尤其在面對頻繁地軟件部署及更新迭代時,同樣面臨與自動化有關的安全、監管和其他問題。如何平衡速度與安全的優先級?這仍然是當今採用DevOps實踐的組織所面臨的主要挑戰之一。

建立有關人員和數據的組織領導和治理,以確保人們在正確的事情上工作,保持士氣,為項目優先級提供方向,併為完成工作的正確工具做出預判。

2. 監管合規

隨着現在對數據安全治理更加嚴格,對於數據傳輸尤其跨境傳輸更需要謹慎對待。確定監管需求,人們或其他服務從哪裏訪問數據? 涉及哪些跨境轉賬?

3. 風險管理

風險管理是技術管理中的一個基礎問題,如果發生數據入侵或泄露會造成哪些損失?

產品或服務存在哪些技術漏洞、威脅和風險?需要什麼樣的安全測試,如靜態/動態測試,滲透測試等。發現漏洞後如何採取修復或打補丁的措施?

在人事方面,在關鍵人員離開時是是否會帶來潛在風險?採取哪些措施來應對這些風險?包括第三方、合同和隱私風險。

開源軟件的使用呈增長趨勢,對於其中的安全隱患同樣不能掉以輕心。

兩個框架活動

1. 軟件開發生命週期 (SDLC)

SDLC至關重要。SDLC涉及所有的人員(團隊、承包商、顧問)進行產品的設計和實現,包括使用什麼模型,負責哪部分內容。當前API的使用在各種行業(包括包括醫療保健和零售)中大幅增加,API的使用也成為SDLC的一部分。

以下是在安全上需要具備的具體幾個方面:

● 威脅建模。

● 測試。迴歸測試、壓力測試、滲透測試、安全性測試。

● 安全編碼。在軟件開發完成後返回修復代碼缺陷讓人頭大,必要的代碼檢測可以降低軟件中涉及的風險及合規問題。

2. 培訓

客户需求不斷變化企業的技術也在不斷更新,培訓讓組織人員提高安全編碼水平、威脅和安全意識以及專業聲譽。

實施DevOps模型一旦建立了基礎,就需要大量的工作、時間和金錢來進行重構或改變,因此在一開始構建模型時需要進行適當的考慮來制定正確的路線。

DevOps模型的各方面可能會隨着時間的推移而改變,有新技術、新員工、業務變化、客户需求以及社會和文化的轉變。這些變化無法提前預見,因此需要根據情況進行必要的調整。

 

文章來源:https://devops.com/5-tips-for-securing-devops-what-you-wish-you-knew-sooner/

文章轉自:https://jishuin.proginn.com/p/763bfbd7f775

文章來自網絡,如有侵權,將第一時間刪除文章內容。

更多精彩文章內容,關注公眾號【OSC DevOps】。添加【開源中國源創君】邀請您進DevOps學習交流羣。