翻译:360代码卫士
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
传送门:【DevSecOps系列文章六】DevSecOps突然成为软件从业人员的战略标配
来自DevOpsDays PDX和AppSec USA会议的两篇演讲探讨了如何将安全实践整合到DevOps生命周期中。
DevOps已出现一段时间了,在这段时间内已形成一些被普遍接受的术语如CAMS代表文化、自动化、测量和分享。作为一种文化转变,在DevOps中纳入安全性仍然处于起步阶段。虽然有人在谈论DevSecOps,但我不确定我们需要一个全新的缩写词或者是一个关于如何让开发、运营和安全协同工作的故事。我认为答案是,我们只需要撸起袖子开始干,然后逐步摸索、调整并改进。
幸运的是,人们在开始谈论这个问题了。我看到AppSec USA会议DevSecCon的Francois (@F_Raynaud) 还有很多其他人也在开始将DevOps跟安全放到一起谈论。
我喜欢来自DevOpsDays PDX(完整转录可见原文末尾)的演讲,它是来自Puppet公司的Adrien Thedo和Chris Barker以及来自Etsy公司的Ben Hughes演讲的。
你可能也会喜欢AppSec USA会议上的另外一个演讲,它是由来自Puppet公司的Adrien、Chris和Bill Weiss演讲的。我跟这四个人一直在一起工作,我感到很幸运能认识并跟他们一起工作。
我学到了什么?
首先,我非常喜欢他们强调了这一点:互相探讨、心态开放并能跟其他人(和其他团队)所遇到的工作挑战产生共鸣。构建并维护基础设施和软件是困难的,而且并非只有你认为这件事有难度。很少有人会试图让你的工作变得更难,记住这一点很重要,尤其是当事情出现问题的时候。
我还注意到Ben提到一个问题说改变文化有多难。即使我们都在谈论聚在一起沟通的重要性,但要注意到Ben实际上说这篇演讲是他开始从事安全行业以来跟开发人员和运营人员讨论最多的一次。
我当然喜欢做一个为期三天的迷你会议这个想法。为期三天的迷你会议?什么跟什么?实际上,它是由来自组织机构内部的利益相关者构成的一个跨功能组织,这些人会一起开展头脑风暴的多个会话。这些会话是由提供计划路演、管理反馈并保证会话不偏题的产品所有人牵头的。
这些头脑风暴为未来的协作提供了两个关键东西。一是共享关于未来规划、目标和可能存在的摩擦点的知识。二是参与者之间的一种交融感,能促进通过票据或邮件推动的更好的异步通信。简言之,它强迫每个人都跟别人沟通,并且提早并经常解决任何问题,从而打破仓壁。
最后,我真的很感谢这两篇演讲强调了更快行动的重要性,这说明我们需要加强开发、运营和安全之间的沟通。(另外要有薄烤饼,薄烤饼一直都管用。)加强沟通会让每个人受益。
改善不同组织之间的沟通有多种方式。让开发和运营参加安全会议(或反之)的想法很好。你可以举办一个“午餐加学习”聚会或其它聚会以确保开发、运营和安全都会理解为何某个功能对公司及其用户都起着重要作用,并且也要得到提问题的机会。鼓励找到攻陷的多种方法,而不是说让安全把所有事情都停掉、将它扔到沟渠然后在上面倒上混凝土。这是问题的一个症状而非解决方案。不管怎么说你是要鼓励沟通、引起共鸣和分享,重要的事情是打破仓壁,因此我们并不是投掷Jira票或者互相扔去愤怒的邮件。
记住,我们都是人。改变是艰难的、令人恐惧的而且不可能在一夜之间就发生。不管怎样,开始做出这些文化改变已经不合时宜。一旦开发、安全和运营经常友善地进行沟通,那么我们就能“一荣俱荣”。如果我们不做文化方面的改变,那么我们就会“一损俱损”。
原文作者Beth Cornils在Puppet公司担任高级产品经理。
原文地址:https://dzone.com/articles/devops-and-security-cultural-changes-to-bring-dev