- ubuntu12.04环境下使用kvm ioctl接口实现最简单的虚拟机
- Ubuntu 通过无线网络安装Ubuntu Server启动系统后连接无线网络的方法
- 在Ubuntu上搭建网桥的方法
- ubuntu 虚拟机上网方式及相关配置详解
CFSDN坚持开源创造价值,我们致力于搭建一个资源共享平台,让每一个IT人在这里找到属于你的精彩世界.
这篇CFSDN的博客文章如何避开DevSecOps的那些“坑”由作者收集整理,如果你对这篇文章有兴趣,记得点赞哟.
如今,在DevOps当中建立安全体系显得比以往任何时候都更加重要。《2021年企业DevOps技能提升报告》指出,56%的受访者表示DevSecOps已经成为自动化工具中的一大必备要素。然而,DevSecOps方法不只是简单添加安全工具与实践,与任何其他DevOps方法一样,其中也离不开文化、流程与技术.
如果不能以战略性方式在企业当中实施DevSecOps,则很容易出现安全障碍或问题。而明智的选择,则有望帮助我们从起步阶段就回避掉这些潜在陷阱。在本文中,我们邀请多位行业专家分享自己的真知灼见,下面来看他们总结出的八个DevSecOps“大坑”:
“实现目标的关键,在于分多个步骤从小处入手。最好是以试点项目为起点,确定一支负责实施DevSecOps管道与流程的项目兼跨职能团队(涵盖应用开发、运营、安全等)。此外,还应确定目标、使用案例并为迭代工作做好准备。如果团队运作良好,请记录实施过程与结果,并据此确定商业价值,例如更快的上市时间或者预先解决安全问题的能力。”——Kirsten Newcomer,红帽公司云安全战略总监 。
“为了扫描而扫描,往往只会带来一种虚假的安全感并引发大量噪声。最重要的应该是考虑如何将安全扫描中发现的问题,切实转化为可操作的补救行动。”Rob Cuddy,HCL Technologies公司全球应用程序安全布道师 。
“团队在十多年前开始实施DevOps时,首先需要确立的就是文化定位。DevOps从本质上强调的是协作、同理心与创新。未能正确理解文化的团队,将很难完成应用程序的构建、测试、持续部署与运行。DevSecOps的情况也是一样,团队只会有更多的文化包袱需要解决。开发人员与安全人员长期以来总是关注着不同的目标,导致双方产生严重分歧。开发者更关注产品开发速度,安全部门则重视如何降低风险。“ 。
“事实是,安全性只是代码质量的另一部分,交付高质量代码符合所有团队的基本利益。谁能围绕这一点达成团结并建立起相应文化,谁就会获得茁壮成长的良好态势。而那些专注于战术实施、但却忽略掉文化研究及相关挑战的团队,则一定会身陷困境。”——Joni Klippert,StackHawk公司联合创始人兼CEO 。
“为了确保更高的成功率,最好缓慢地每次引入一种安全控制,并确保结果对团队确有价值。持续监控并改进安全流程,最大程度减少业务中断。其中包括评估结果、调节扫描工具并尽可能减少指向工程团队的误报。如果无法完成这种文化转变,则DevSecOps大概率会陷入失败。” 。
“左移的意义,是在软件项目开发或产品启动之初,就保证将一切角色和职责清晰简明地委派给每一位参与者。将DevSecOps和安全带入人们已经熟悉的工作体系当中。把工程师们已经在使用的工具与安全流程融合得越好,起步阶段就会越简单。”——Dheeraj Nayal,DevOps研究院全球社区大使兼亚太、中东与非洲区域负责人 。
“与DevOps类似,DevSecOps的本质并不是团队或者角色,而是一种文化。不解决文化方面的问题,单是在现有团队/流程中添加一个安全/DevSecOps工程师角色,并不足以达到与预期相符的回报。而文化通常源自高层,因此要建立正确的文化体系,必须保证高层领导团队支持DevSecOps。”——David Slater,Tasktop公司云产品价值流负责人 。
“在处理较为陈旧的代码库时,企业可能已经识别出大量缺陷。但「为每个缺陷创建一个Jira工单」的默认响应方式无法解决问题。另一种常见的陷阱则是低估了采取新方法所需要的时间。要使DevSecOps取得成功,必须要让交付团队亲自参与解决方案构建。”——Peter Maddison,Xodiac公司创始人 。
“也就是在未经认真讨论的情况下匆忙引入某种工具或者流程。团队实施了变更,但并没有对变更本身的含义进行协同探索。安全不应该是一种硬性叫停的机制;相反,更有意义的思考应该是「新的集成元素是否会引入新的风险?」” 。
“在运维方面,这样的讨论也同样适用:如果发现安全漏洞,我们该先做点什么来遏止住问题,又该怎样避免未来发生类似的问题?与DevOps领域的陷阱一样,只要发现有「坑」,人们应该通过回溯确定更多未来可以改进的地方。”——Mark Peters,Novetta公司技术负责人 。
“DevSecOps不是终点,而是一段持续而漫长的旅程。只要能时刻认清这一现实,我们就不会落入DevSecOps的泥潭。”——Sharath Dodda,TD公司IT开发经理 。
最后此篇关于如何避开DevSecOps的那些“坑”的文章就讲到这里了,如果你想了解更多关于如何避开DevSecOps的那些“坑”的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。
前言 每日站会(Daily Standup)是团队统一节奏的、在固定时间发生的、帮助团队内部快速同步进展的敏捷实践活动: 站会的目的是让团队能更好地对齐 Sprint 目标;
jdbcTemplate 中的queryForList,你真的懂吗? 你想象中的queryForList是不是应该长成下面这种模样? String sql = "select *
python是一门清晰简洁的语言,如果你对一些细节不了解的话,就会掉入到那些深不见底的“坑”里,下面,我就来总结一些python里常见的坑。 列表创建和引用 嵌套列表的创建 使用*号来创建一个
如今,在DevOps当中建立安全体系显得比以往任何时候都更加重要。《2021年企业DevOps技能提升报告》指出,56%的受访者表示DevSecOps已经成为自动化工具中的一大必备要素。然而,D
前言 相信看到这个题目,可能大家都觉得是一个老生常谈的月经topic了。一直以来其实把握一个“值传递”基本上就能理解各种情况了,不过最近遇到了更深一点的“小坑”,与大家分享一下。 首先还是从最简
前言 Go 中的for range组合可以和方便的实现对一个数组或切片进行遍历,但是在某些情况下使用for range时很可能就会被"坑",下面用一段代码来模拟下:
大家好,我是明哥。 在开始之前,先考你一个非常 Go 味的经典问题:如何判断一个 interface{} 的值是否为 nil ? 这也是面试有可能会被问到的一个问题,这个问题很 “迷”,平时
ava并发包有很大一部分内容都是关于并发容器的,因此学习和搞懂这部分的内容很有必要。 Java 1.5 之前提供的同步容器虽然也能保证线程安全,但是性能很差,而 Java 1.5 版本之后提供的并发
大家好,我是煎鱼。 前几天在读者交流群里看到一位小伙伴,针对 interface 的使用有了比较大的疑惑。 无独有偶,我也在网上看到有小伙伴在 Go 面试的时候被问到了:
我是一名优秀的程序员,十分优秀!