据Gartner称,DevSecOps 正在成为最热门的话题之一。 但有多少IT从业者了解它呢? 不,它不是 DevOps 本身;它没有讨论如何从传统的瀑布式开发转向基于 scrum 的敏捷开发。 这也不是一个纯粹的安全话题。 那么,DevSecOps 会议与通常的安全和 DevOps 活动有何不同?
二月份的时候,我发现了。 我参加了新加坡的 DevSecCon。 与会者和演讲者分别来自安全和开发专业人士,因此这两个阵营之间的结合非常好。 让我分享一下我参加会议的三个要点(以及会议上一些开发人员的精选语录):
他们还表示,虽然开发人员通常不优先考虑安全性,但他们确实需要融入安全世界。 开发人员介绍了应用程序安全方面面临的几个挑战,并探讨了如何在他们的文化或风格中利用安全性。 总体情绪是赞成将安全团队注入到他们的项目中。 甚至有人建议: “安全团队应该尽早参加客户会议,这样他们就不需要再回去寻找挑战。”
这三条评论表明安全从业人员可以而且应该成为开发团队的一部分。 我想说安全团队所面临的挑战是另一面:安全人员想知道如何才能更好地倡导 DevOps 项目。 他们知道自己不应该成为发展的障碍,并且他们还需要实施 DevOps 使用的一些工具链或流程。 这就是为什么“左移”——这一似乎也是 RSA Conference SFO 2019 的一个重要话题——在本次活动中被广泛提及的原因。 这是必要的,不仅因为安全专业人员希望提升自己的价值,更因为他们认为这是适应数字化商业时代的唯一途径。
另一个突出的问题是资源和人才的短缺。 从这些评论可以看出,应用安全职位并不容易填补。 安全团队努力扩大规模,而其组织则专注于加速发展以满足业务需求。 当然,工具链和自动化应该可以填补这一空白,使安全团队的工作更具可扩展性和更快。 我觉得这应该只是第一阶段。 从长远来看,DevOps 和安全工作都应该足够简化,以便 DevOps 和安全人才都可以同时担任这两个角色。
***
这个领域的文化并不容易改变,但每个人都知道必须改变。 有趣的是,看到来自安全和开发团队的发言者有共同的主题、困难和建议。 共同的想法:关于开发人员和安全人员如何团结成一个具有相同目标的团队。 好消息是,许多工具链供应商和解决方案提供商现在都专注于这种简化的方法。 这是软件工程技术以及安全解决方案的一种民主化。 所以,我们都在朝这个方向努力。