概述
DevSecOps将安全原则、流程和技术整合到持续的软件开发和IT运营文化中,从而影响其实践和工作流程。它将传统上相互隔离的开发、基础设施运营和信息安全领域汇聚在一起,通过一套共同的流程、程序和工具自动化,促进安全软件的开发。
对DevSecOps兴趣的增加,部分是由于云计算优先的软件开发环境推动的,这种环境具有越来越短的产品生命周期、更迭代的开发方法以及开发
202二实合P明十中化反版权所右
和IT运营的日益集成。传统的安全开发方法往往难以满足那些在云环境中工作的人快速采用的持续开发方法的需求。将安全开发实践集成到DevOps中需要一种更敏捷的安全方法,包括增加安全流程的自动化、更周到和务实的安全实施规划、更明确地列举风险和合规要求,以及更具操作性的监控和测量方法。此外,要使所有这些元素作为一个整体的DevSecOps方法协同工作,需要每个接触该流程的人都有集体安全责任意识。
鉴于对DevSecOps的兴趣增加,云安全联盟(CSA)和软件保证卓越代码论坛(SAFECode)组成了一个DevSecOps工作组,以识别和分享开发和维持DevSecOps项目的最佳实践。作为第一步,工作组根据CSA的反射性安全框架中描述的六大支柱,确定并定义了将DevSecOps集成到组织中的六个关键关注领域。随着时间的推移,我们将重新审视并建立每个DevSecOps支柱的更详细的研究和指导,以维护特定行业的标准。本文是计划中的系列文章的一部分,将重点关注arguably其他所有支柱基础的领域——集体责任。
培养集体安全责任意识不仅是将安全融入DevOps环境的重要组成部分,也是最具挑战性的任务之一。这需要培养组织在软件安全方面的思维方式、理念、习俗和行为的转变。在本报告中,我们将这种努力称为构建支持安全的文化。这种文化的一些显著特征包括以下特点:
·实施安全设计的心态:在软件开发和运营的每个阶段都考虑和解决安全
问题。安全不是事后的想法,也不是仅仅通过审计发现来处理的问题。
·一种全员参与——从开发到IT运营再到高层管理——在确保软件安全方面发挥作用,并作为组织应对当今复杂威胁环境的第一道防线的意识。
·强调个人责任和信任。这种方法使自主性和敏捷性得以增强,提供必要
的安全信息和工具,以便进行知情的分散式行动和决策。这与传统上限制性较强、手动密集且相互隔离的安全流程有所不同。
·明确认识到安全并非与业务目标分开或截然不同,因此,积极的安全行
为和激励措施之间存在明确且可识别的一致性,并且相信团队成员在其安全工作中会得到支持。
尽管关于培养支持安全的文化的必要性已有大量著作,但它仍然是DevSecOps执行过程中最常被提及的挑战之一。文化通常被描述为组织的一个关键但无形的要素。不幸的是,这可能导致一种相当临时的文化变革方法。在软件安全方面,这通常表现为偶尔的黑客马拉松或漏洞清理活动,或者可能是关于软件安全实践价值的年度培训课程。这并不是说这些活动没有价值,而是说如果它们没有在团队目标的背景下呈现、没有得到加强,或者没有包括正确的受众,它们的影响是有限的。在周期开始时引入安全知识和培训可以帮助避免这些临时会议的需要。
高层支持与参与
用于创建和维持支持安全的文化的方法各不相同,但几乎所有成功的组织都共享的一个基本要素是支持和参与型的领导团队。管理层的支持不仅是确保对DevSecOps进行足够的时间和资源投入的必要条件,也是确保这些努力得到实地支持的关键。员工能够分辨出对安全计划的象征性支持或勉强支持与严肃承诺之间的区别,并且他们的这种认识不可避免地会反映在他们执行计划部分的方式上。
为了获得管理层对安全文化发展的支持,通常需要提出一个全面的、以结果为导向的计划,而不是一系列临时性的活动。设计一个计划级的方法至少需要制定一个与业务战略紧密相关的商业案例、一个详细的实施计划以及关键的项目指标。参与云安全联盟(CSA)和SAFECode等组织也有助于了解类似组织是如何处理安全文化发展的,这同样可以支持商业案例的提出。
计划设计与实施
建立安全文化应被视为一项重要且持续的计划级工作,而不仅仅是一系列临时性活动的简单集合。这需要对旨在培养集体安全责任感的新举措进行精心规划和周密部署。以下是那些希望采用计划管理方法的人需要考虑的一些常见问题。
当一个企业设计一个支持安全文化的计划时,任务是将安全意识和集体责任感融入现有的组织文化中。这要求安全领导者在计划设计中考虑其组织和开发团队的现有文化和业务实践。一个有用的方法是研究过去需求或流程变更的例子,以尝试找出有效的沟通和社交化方法,并将其应用于安全开发工作。
例如,安全领导者可能会考虑财务和会计团队如何与开发团队合作,以促进和庆祝其新发票和费用报告系统在全公司的推出,初步威胁模型如何有助于简化产品设计并降低成本和风险,或者为什么尽管增加了工作量,产品管理的新文档要求却如此迅速地被接受?其他一些常见问题包括以下问题:
●团队是更倾向于响应公司高层的指令,还是更倾向于接受来自工程内
部的更基层的方法?
本文来自知之小站
PDF完整报告已分享至知识星球,微信扫码加入立享4万+最新精选报告
(星球内含更多专属精选报告.其它事宜可联系zzxz_88@163.com)
