大话2免费版一级星盘炼化表

    • <form id=zhudObCNh><nobr id=zhudObCNh></nobr></form>
      <address id=zhudObCNh><nobr id=zhudObCNh><nobr id=zhudObCNh></nobr></nobr></address>

       
    
       
      
      
        
       
          
       
            
       
              
       
                 
                 
              
       
            
      
          
      
        
      
      
       
      
       
        
       
          
      
          
      
          
      
          
      
          
       
            
       
               
              
      
              
       
              
       
                
       
                  
       
                    
      
                      給DevOps加點料——融入安全性的DevSecOps
                    
       
                    
       
                      原創 
                    
       
                  
       
                  
       
                    
      
                      发布:李晓琳 于 2020-09-02 11:12:41
                    
       
                    
      
                      最后编辑:李晓琳 于 2020-10-15 15:19:42
                    
       
                    
      
                      1434次查看
                    
       
                  
       
                
       
                
       
                  从前,安全防护只是特定团队的责任,在开发的最后阶段才会介入。当开发周期长达数月、甚至数年时,这样做没什么问题;但是现在,这种做法现在已经行不通了。采用 DevOps 可以有效推进快速频繁的开发周期(有时全程只有数周或数天),但是过时的安全措施则可能会拖累整个流程,即使最高效的 DevOps 计划也可能会放慢速度。
       
                  
      
                    DevSecOps是什麽
                  
      
                  在 DevOps 协作框架下,安全防护是整个 IT 团队的共同责任,需要贯穿至整个生命周期的每一个环节。这个理念非常重要,因此催生出了“DevSecOps”一词,即
                  在开发和运维紧密结合的基础上再强调了Security,强调必须为 DevOps 计划打下扎实的安全基础。
       
                  
      
                    
      
                  
      
                  DevSecOps 意味着从一开始就要考虑应用和基础架构的安全性;同时还要让某些安全网关实现自动化,以防止 DevOps 工作流程变慢。选择合适的工具来持续集成安全防护(比如在集成开发环境(IDE)中集成安全防护功能)有助于实现这些目标。但是高效的 DevOps 安防需要的不仅是新工具。它更需要整个公司实现 DevOps 文化变革,从而尽早集成安全团队的工作。
      
                  
      
                    DevSecOps目標及原因
                  
      
                  DevSecOps的目的和意圖是建立在“每個人都對安全負責”的思想基礎上,目標是
                  在不犧牲所需安全性的前提下,將安全決策快速、大規模地分發給擁有最高級別上下流的人員。 
      
                  
       
                  
      
                    如今,也是同樣的原因致使傳統的安全領導者竭力爭取自己在行政會議上的一席之地。雖然這一席之地能夠保證安全決策有效性的提高,但由于價值創造過程中缺乏所需安全技能的供應,導致成果在産出過程中摩擦增多、速度減緩。如果沒有足夠的人手,企業經營者就無法達到業務運營商所期望的速度,也就意味著他們必須改變安全價值的貢獻方式,否則風險就會增加。
                  
      
                  
      
                    
                  
      
                  隨著DevOps、敏捷和公共雲服務的業務需要,
                  傳統的安全流程已成爲需要削減的主要目標。但可悲的是,這又是最容易忽略的一點。傳統安全性的出發點是,一旦設計了系統,便可以由安全人員確定系統的安全缺陷,並由業務運營商在發布系統之前對其進行糾正。這一原則允許流程將有限的安全技能應用于結果,並且不必在大型系統中額外增加安全環境。但是,這樣設計的流程只有在業務活動的速度是瀑布式的並且得到各方同意的情況下才有效。更糟的是,
                  在叠代中引入認爲安全必須以這種方式運行的想法是有缺陷的,也會在系統內增加固有風險。因爲業務決策需要內聯平衡並以較快的速度解決。因此,這一方式尚未得到實現。  
       
                  
      
                    DevSecOps優勢及實施
                  
      
                  
      
                    在價值創造生命周期的最後階段,安全團隊幾乎不可能擁有呈現安全決策所需的所有信息。而且,隨著價值創造過程加快提供叠代價值,以便緊密地聯系客戶的需求,更可能的是,一次性完成整個系統的測試實際上對結果具有破壞性。實際上,以這種方式做出的大多數安全決策很少有效,經常被業務領導人否決,並且通常會在事件或破壞發生時受到質疑。
                  
      
                  
      
                    
                  
      
                  因此,隨著DevOps的不斷變化,傳統的安全性不再是一種選擇。在通過叠代構建的系統的設計和發布中,協作已經太晚了。但是,
                  隨著DevSecOps的引入,業務運營商或安全人員都沒有必要放棄降低風險的措施;相反,組織內的每個人都應該擁抱並改進它,使其得到那些有能力爲系統貢獻安全價值的人的支持。有個很棒的說法是,如果沒有刻意的內置安全控制,系統故障是肯定的,因爲僅僅是避免安全就會給系統帶來更多風險。因此,認爲價值創造與安全性不能合作的觀點是非常荒謬的。
      
                  
      
                  DevSecOps建立的思維模式包括
                  爲業務運營商提供了工具和決策,幫助他們進行安全決策,以及爲安全人員提供使用、調整這些工具的支持,這非常適合協作型團隊。在這種情況下,安全工程師與DevSecOps宣言保持一致,該宣言表明了安全從業者必須提供的價值,以及他們必須做出的更改,以使安全價值能夠提供給更大的生態系統。通過這種方式,DevSecOps工程師爲系統提供的價值是
                  在非合作的攻擊者發現缺陷之前持續監視、攻擊並確定缺陷。這需要業務生態系統中的所有人,包括安全人員,爲叠代的價值創造做出貢獻,並不需要爲了團隊中安全從業者的缺失而過度焦慮。
      
                  
      
                  DevSecOps作爲一種思維方式和安全性轉換,
                  有助于流程與其他安全更改合作。換句話說,如果您認爲需要將安全性添加到“開發”或“運營”或某些其他業務流程中,那就沒關系了!需要將安全性添加到所有業務流程中,並且需要創建一個專門的團隊來建立對業務的理解、發現缺陷的工具、持續的測試,以及預測作爲業務操作人員如何做出決策的科學。此外,爲了實現全面的轉型,DevSecOps需要執行管理層和董事會參與提供相關信息,這些信息是業務如何在當今經濟所代表的競爭日益激烈的低信任度環境中運營和保護團隊的關鍵指標。
       
                
       
                 
              
       
              
      
              
       
            
       
            
       
              
      
              
       
              
       
                
      
                  類目
                  
                
       
                
                  
       
                    
       
                      
                       文章分類 
                    
       
                    
       
                       
                    
      
                  
      
                       
              
       
            
       
            
       
              
      
                 
      
                  DevOps幹貨
                
      
              
       
            
      
          
      
          
      
          
       
          
       
            
      
              
      
                

      

       

       

      

       
 


       


      

      

      

      

HoME大话2免费版一级星盘炼化表