本文由360代码卫士翻译
构建DevOps文化就很有挑战性了,而要将其更进一步推向更加安全的演变阶段即DevSecOps可谓难上加难。
DevOps计划成功的关键是简单但却常被忽视的概念:因为开发人员推动着软件的发展,因此开发人员的参与对于实现更加安全的框架来说至关重要。DevSecOps代表了安全软件开发的下一个演变阶段,但如果不受文化的支持,那么即使是最佳管治框架和最先进的安全工具也无济于事。
如果开发团队必须改变他们一直以来的工作方式和跟其它团队交互的方式,那么安全团队也会面临较大调整,从而跳出复选框合规的思维模式。Varacode一直以来都在推广内部安全。我们的思想领袖建议通过以下四个战略构建DevSecOps文化。
1. 形成开放且持续学习的文化
在任何组织机构,开发和安全之间的信任和合作都至关重要。否则,安全就会变得被动且低于标准。开放交流会促进开发和安全团队之间的协作和持续改进。而持续培训和学习同等重要(http://www.veracode.com/blog/secure-development/give-developers-training-actually-helps)。提高开发人员的安全IQ水平会带来丰厚回报。
2. 设立强反馈循环
“ChatOps”这个术语正在快速成为DevOps词汇的一部分。聊天应用程序如Slack和HipChat有助于团队之间更快更有效地协作。在更高级别上,可通过聊天机器人来自动化某些交互,而团队能够开始废除那些阻止自动化的遗留系统,如邮件。
3. 创建安全捍卫者
缺少高质量的安全专业人员(http://www.veracode.com/blog/security-news/podcast-addressing-skills-gap-how-keep-our-digital-economy-growing) 能让从DevOps到DevSecOps的转变变得艰难。懂行的组织机构会在开发和运营团队中找到了解安全的人员。这些人就是团队安全意识方面的安全捍卫者。
4. 鼓励团队自治
成功的DevSecOps主管会授权给团队并基于需求给予他们判断进程和工具的权力。各个团队应该也定义自己的文化。分散决策会带来更大责任并推动更多的创新。
认识DevSecOps
强大的安全文化是DevSecOps的三大支柱之一,其它两大支柱是进程和技术。我们将在这个系列中陆续对后者进行探索。如需了解DevSecOps的更多最佳实践,可下载《DevSecOps星云开发人员指南》(https://info.veracode.com/developers-guide-to-devsecops-galaxy.html)。
原文地址:https://dzone.com/articles/4-ways-to-build-a-devsecops-culture