devops DevOps專業人員如何成為安全冠軍

2021-10-08 05:27:57 字數 1439 閱讀 2913

devops

安全是devops中乙個被誤解的元素。 有些人認為它不在devops的職權範圍之內,而另一些人則認為它很重要(被忽略),足以建議您轉向devsecops 。 無論您從哪個角度看,很明顯,安全都會影響到每個人。

每年, 關於黑客的統計資料都變得更加令人震驚。 例如,每39秒就有一次黑客攻擊,這可能會導致您為公司編寫的記錄,身份和專有專案被盜。 您的安全團隊可能需要花費幾個月(甚至可能永遠)的時間,才能發現黑客的身份,身份,地點或時間。

這些嚴重問題應由運營專家做什麼? 我說現在是時候讓我們成為安全支持者,成為解決方案的一部分了。

在與本地it安全(itsec)團隊並肩工作的多年中,我注意到了很多事情。 乙個很大的問題是,devops和安全性之間的矛盾非常普遍。 這種緊張關係幾乎總是源於安全團隊為防止漏洞(例如,通過設定規則或禁用事物)而進行的努力,這些漏洞會中斷devops的工作並阻礙其快速部署應用程式的能力。

您已經看到了,我已經看到了,您在現場遇到的每個人至少都有乙個故事。 一小撮怨恨變成了一座燒毀的橋梁,需要花費一些時間進行修復-或這些團體開始一場小規模的草皮戰,而由此產生的孤島使實現devops的可能性不大。

考慮一下查詢,分析和撤消已完成操作所需的大量知識。 或者要弄清楚devops團隊在沒有背景資訊的情況下正在做什麼,然後複製並測試它。 並由通常配備不足的安全團隊來完成所有這些工作。

這是您的安全團隊的日常生活,而您的devops團隊則看不到它。 itsec的日常工作可能意味著加班和加班,以確保公司,其團隊及其團隊進行的專有工作安全。

幫助您的安全團隊幫助您。 將工具引入您的管道中,以將您知道的工作與他們將工作的工作整合在一起。 從小事情入手,例如閱讀常見漏洞和披露(cve)並將掃瞄功能新增到ci / cd管道。 對於您構建的所有內容,都有乙個開源掃瞄工具,從長遠來看,新增小型開源工具(例如下面的工具)可以加倍努力。

容器掃瞄工具:

**掃瞄工具:

kubernetes安全工具:

如果您擔任與devops有關的角色,那麼學習新技術以及如何用新技術創造新事物是工作的一部分。 安全性也不例外。 這是我在保持devops安全的同時,在安全方面保持最新狀態的方法列表。

每週檢視cve**,以了解新功能。

嘗試每年至少與您的安全團隊成員一起參加一次安全會議,以從他們的角度看待事情。

您應該成為自己的安全擁護者有幾個原因。 首先也是最重要的是增進您的知識並發展您的職業。 第二個原因是幫助其他團隊,建立新的關係並打破對您的組織有害的孤島。 在整個組織內建立友誼有很多好處,包括樹立橋接團隊的良好榜樣,並鼓勵人們一起工作。 您還將促進在整個組織中共享知識,並為每個人提供有關安全性和加強內部合作的新契約。

總體而言,成為安全擁護者將使您成為整個組織的良好擁護者。

翻譯自:

devops

devops DevOps 責備的後果

devops merriam webster將 責備 定義為動詞和名詞。作為動詞,它的意思是 發現錯誤或承擔責任 作為名詞,它的意思是 表達對被認為值得譴責的事物的反對或責任。無論哪種方式,責備都不是一件令人愉快的事情。它可能造成恐懼和羞恥感,加劇權力不平衡,並使我們貶值他人。試想一下上次您對某事大...

不看好devops DevOps應該不難!

不看好devops 到目前為止,我們已經能夠設定部署和報告伺服器,從推送新的提交到更新生產中的應用程式都有完整的方法。但是,在掌握之前我們能實現什麼自動化?如果我們進行了一系列檢查以確保我們的應用在部署前行為正確怎麼辦?這就是github actions派上用場的地方。github actions是...

devops DevOps適合所有人

devops 我從未擔任過開發人員或運營部門的工作,所以我在寫有關devops的文章時在做什麼?我一直對計算機和技術感興趣。我也對人,心理學和幫助他人充滿熱情。當我第一次聽說devops時,這個概念激起了我的興趣,因為它似乎合併了我感興趣的許多內容,即使我不編寫 也是如此。我的第一台計算機是trs ...