保護 DevOps 的 5 個技巧

對組織來說，構建一個堅實的基礎和框架是DevOps取得成功的重要條件之一。

三個基本需求

1. 領導和管制

在需要做出決策的時候，領導負責帶領團隊提供指導和運營治理。尤其在面對頻繁地軟體部署及更新迭代時，同樣面臨與自動化有關的安全、監管和其他問題。如何平衡速度與安全的優先順序?這仍然是當今採用DevOps實踐的組織所面臨的主要挑戰之一。

建立有關人員和資料的組織領導和治理，以確保人們在正確的事情上工作，保持士氣，為專案優先順序提供方向，併為完成工作的正確工具做出預判。

2. 監管合規

隨著現在對資料安全治理更加嚴格，對於資料傳輸尤其跨境傳輸更需要謹慎對待。確定監管需求，人們或其他服務從哪裡訪問資料? 涉及哪些跨境轉賬?

3. 風險管理

風險管理是技術管理中的一個基礎問題，如果發生資料入侵或洩露會造成哪些損失?

產品或服務存在哪些技術漏洞、威脅和風險?需要什麼樣的安全測試，如靜態/動態測試，滲透測試等。發現漏洞後如何採取修復或打補丁的措施?

在人事方面，在關鍵人員離開時是是否會帶來潛在風險?採取哪些措施來應對這些風險?包括第三方、合同和隱私風險。

開源軟體的使用呈增長趨勢，對於其中的安全隱患同樣不能掉以輕心。

兩個框架活動

1. 軟體開發生命週期 (SDLC)

SDLC至關重要。SDLC涉及所有的人員(團隊、承包商、顧問)進行產品的設計和實現，包括使用什麼模型，負責哪部分內容。當前API的使用在各種行業(包括包括醫療保健和零售)中大幅增加，API的使用也成為SDLC的一部分。

以下是在安全上需要具備的具體幾個方面：

● 威脅建模。

● 測試。迴歸測試、壓力測試、滲透測試、安全性測試。

● 安全編碼。在軟體開發完成後返回修復程式碼缺陷讓人頭大，必要的程式碼檢測可以降低軟體中涉及的風險及合規問題。

2. 培訓

客戶需求不斷變化企業的技術也在不斷更新，培訓讓組織人員提高安全編碼水平、威脅和安全意識以及專業聲譽。

實施DevOps模型一旦建立了基礎，就需要大量的工作、時間和金錢來進行重構或改變，因此在一開始構建模型時需要進行適當的考慮來制定正確的路線。

DevOps模型的各方面可能會隨著時間的推移而改變，有新技術、新員工、業務變化、客戶需求以及社會和文化的轉變。這些變化無法提前預見，因此需要根據情況進行必要的調整。

 

文章來源：https://devops.com/5-tips-for-securing-devops-what-you-wish-you-knew-sooner/

文章轉自：https://jishuin.proginn.com/p/763bfbd7f775

文章來自網路，如有侵權，將第一時間刪除文章內容。

更多精彩文章內容，關注公眾號【OSC DevOps】。新增【開源中國源創君】邀請您進DevOps學習交流群。