DevSecOP について暴言を吐く

DevSecOP について暴言を吐く

Posted on By 📢 𝔹𝕚𝕟𝕘™

シーン周辺

ここ数年、私は多くの組織がDevOpsとアジャイルについて洗練された有害な見解と見当違いのソリューションを具体的に示しているのを目撃してきました.

それに応じて、私は全体として、DevOps とアジャイルの実践の利点と具体的な説明をタグ付けしようとしました。他の正しい慣行から。 何度も何度も私は支援する場所にいましたが、絶え間なく耳が聞こえなくなりました.

目を上げて助けてください。 これは、InfoSec コミュニティ全体が、DevOps、アジャイルの根底にあるソリューションと前提をどのように誤解しているかについてのものであり、この事実が DevSecOps に起因しています。

よろしくお願いします。意図

InfoSec コミュニティは、おおむね非常に優れた集団です。 事実を楽しんでください。 しかし、私たちが協力している組織に小さな価値を提供する解決策を推進することで、私たちは災害を購入したと思います.

これのいくつかの正しい例は、全体として、Third Get together Threat Management プログラムに必要な、長くて効果のないサード セレブレーション/セラー評価アンケート、または時代遅れで厳格な、時代遅れで厳格なコンプライアンス要件の時代遅れの規範的安全要件 (…PCI-DSS

咳 👀).私は、InfoSec コミュニティが DevSecOps と同じ災害に同意していると考えています.

DevSecOps について初めて聞いたとき、投げかけられた用語は、 「左シフト」になります。 この用語は、DevOps では真の能力というよりも十分に機能しますが、私が行った会話の文脈の中で、コンピューター化された静的診断セキュリティ試行アウト (SAST) および動的診断セキュリティ試行アウト (DAST) を構築し、パイプラインを提供することについて言及していました。そのため、脆弱性の識別はそのライフサイクルの早い段階で行われます。

追加情報についてon Vulnerability & Security 私が書いたこの他のブログをのぞいてみてください。 4段階の脆弱性管理

そして、それは一般的にそれでした。 DevSecOps=解放よりも早い段階で悪用可能な脆弱性を最後の最後に検索するために、侵入評価を当てにしないでください。

DevSecOps いいえ

その後、Phoenix プロジェクトを通じて DevOps のガイドライン、DevOps 取扱説明書を学び始めたとき、私は少し唖然としました。 3 つの方法とその他のソリューションは、DevSecOps のほとんどの実装と理解に失われていました (少なくとも、私の逸話的なスキルに同意します)。

現時点で DevSecOps という用語を検索すると、何百ものサイトやブログが表示され、すべて過剰なレベルで説明されています。 しかし、完全に窮屈な割合で、コンピューター化された/早期の安全チェックアウトとDevSecOps手段の採用を通じて左に移動するのではなく、他のことについて話します.

私たちは業界として、回顧録のいくつかの不可欠な要素を欠いていますが、主にDevSecOpsに基づいたこの多かれ少なかれ手段を推進してきたと思います.

原則、およびスキル

アジャイルやDevOpsの実践が見落とされがちな要因について、多くのメンバーが同意しているからだと反省しています。

アジャイルな作業方法は、本来の未知数と複雑さに起因する、システム パターン作業の労力を見積もる際の災害への対応でした。

DevOps プラクティスは、Pattern と Operations のグループが、共同作業を成功させるための空間に存在しなくなったり、共同作業を挑発したりすることへの対応でした。

後者の結果はもはや最近の技術のチェックリストではなく、後で新しく採用されたソリューションがより大きな成功を収めたと仮定しても. 変更として、DevOps は、これら 2 つのグループがうまく連携する方法を提案しました。方法”:

  • 番組内循環付バックプラグ
  • レコメンデーションのループを強化します。

    • 研究と実験を通じて継続的な開発を促進します。

これらのテナントに飛び込んだとき、他にも何百もの楽しいソリューションを偶然見つけました。

  • 開発中の作業を制限する (これは赤ちゃんへの信念である必要があります)
  • 制約の推測
  • 仕事の4つの形態を把握し、一つ一つ対応していく
    • 事件発生中行政堂々
    • ゲット資産管理が素晴らしい
    • 代用政権取得 見事

    • これらの最後の 2 つは、私がさえずりを形成します…それから、私は絶望してこめかみをこすります.

      これらのソリューションとプラクティスはすべて、Dev および Ops グループの素晴らしいプレイを支援するために開発されました。 彼らは、InfoSec の擁護者として私が他のグループと非常に貴重な方法で作業するのを助けてくれました。 組織を効率的に維持するための鍵はここにあります。 例として、製品または側面に挑発的な脆弱性がある場合はいつでも、購入した日の最後に、その資産の保守担当者に脆弱性の修正を優先するよう説得します。 相互の友好的なコラボレーションのためのツールは、実行された仕事を成功させるのではなく、快適な職場環境を促進します.

      非常に多くの情報セキュリティ私が現時点でのぞき見しているグループは、さまざまな業界のすべての戦略を通じて、他のグループと素晴らしいプレーをすることはできません。 コンピュータ化された SAST、SCA、DAST、および IAST をパイプラインに利用することに多くの人が同意しますが、調査結果の長いチェックリストと同じくらい速く、全体として、その担当者は「この期限までにこの脆弱性を修復する必要があります」に変わります。人員。 コマンド.

      レベルを逃しました.

      𝚆𝚊𝚝𝚌𝚑 𝙽𝙾𝚆 📺

anti-Mastodon, Ask HN, Auto-Generate, Billionaires, Blockchain, coding, computer science, CRYPTO, DevSecOps, Show HN, Technology, TOP HN Tags:,

Related Posts