DevSecOps 的斗争: 2019 年新加坡 DevSecCon 的收获
据Gartner称,DevSecOps 正在成为最热门的话题之一。 但有多少IT从业者了解它呢? 不,它不是 DevOps 本身;它没有讨论如何从传统的瀑布式开发转向基于 scrum 的敏捷开发。 这也不是一个纯粹的安全话题。 那么,DevSecOps 会议与通常的安全和 DevOps 活动有何不同?
二月份的时候,我发现了。 我参加了新加坡的 DevSecCon。 与会者和演讲者分别来自安全和开发专业人士,因此这两个阵营之间的结合非常好。 让我分享一下我参加会议的三个要点(以及会议上一些开发人员的精选语录):
开发文化变革
“每个开发人员都应该接受安全培训。”
“IT安全是每个人的责任。”
他们还表示,虽然开发人员通常不优先考虑安全性,但他们确实需要融入安全世界。 开发人员介绍了应用程序安全方面面临的几个挑战,并探讨了如何在他们的文化或风格中利用安全性。 总体情绪是赞成将安全团队注入到他们的项目中。 甚至有人建议: “安全团队应该尽早参加客户会议,这样他们就不需要再回去寻找挑战。”
安全文化变革
“我们安全人员应该努力成为技术人员,而不是只指责开发人员。”
“我觉得安全团队不擅长实现流程自动化。 他们倾向于默认采用手动流程。”
“我们建议安全团队首先与开发团队建立关系。”
这三条评论表明安全从业人员可以而且应该成为开发团队的一部分。 我想说安全团队所面临的挑战是另一面:安全人员想知道如何才能更好地倡导 DevOps 项目。 他们知道自己不应该成为发展的障碍,并且他们还需要实施 DevOps 使用的一些工具链或流程。 这就是为什么“左移”——这一似乎也是 RSA Conference SFO 2019 的一个重要话题——在本次活动中被广泛提及的原因。 这是必要的,不仅因为安全专业人员希望提升自己的价值,更因为他们认为这是适应数字化商业时代的唯一途径。
天赋
“组织倾向于雇用更多的开发人员,而忘记雇用安全人员。 因此,扩大安全团队就成为一个问题。”
“缺乏应用安全人才是根本原因。 大多数应聘应用安全职位的都是网络安全人员。”
另一个突出的问题是资源和人才的短缺。 从这些评论可以看出,应用安全职位并不容易填补。 安全团队努力扩大规模,而其组织则专注于加速发展以满足业务需求。 当然,工具链和自动化应该可以填补这一空白,使安全团队的工作更具可扩展性和更快。 我觉得这应该只是第一阶段。 从长远来看,DevOps 和安全工作都应该足够简化,以便 DevOps 和安全人才都可以同时担任这两个角色。
***
这个领域的文化并不容易改变,但每个人都知道必须改变。 有趣的是,看到来自安全和开发团队的发言者有共同的主题、困难和建议。 共同的想法:关于开发人员和安全人员如何团结成一个具有相同目标的团队。 好消息是,许多工具链供应商和解决方案提供商现在都专注于这种简化的方法。 这是软件工程技术以及安全解决方案的一种民主化。 所以,我们都在朝这个方向努力。
