如今,DevOps已经成为一种趋势。敏捷开发和发布可以帮助公司快速解决客户问题和市场创新需求。
在传统开发流程中,安全团队和开发人员分开工作,在软件发布周期的预定时间进行安全工作。但这种方式对于敏捷开发来说并不适用,安全审计成为软件发布过程中的障碍。
鉴于数据泄露的严重后果,安全性已成为产品首要考虑的问题之一。组织需要将安全性与敏捷开发结合起来,首席信息安全官为实现安全集成的敏捷开发机制可以如何做?
优先进行机器ID验证
传统的身份管理协议优先考虑人的身份验证。用户id和密码占主导地位。然而,自动化主导了DevOps协议,因此,机器ID主导了ID验证领域。
敏捷的安全方法首先保护系统不受未经授权的计算机访问。通过在组织中使用微服务、基于云的容器和其他自动化过程,机器被交织到现代应用程序中。考虑到安全性与开发之间的距离,大多数应用程序无法保护和验证访问敏感机密的机器ID。因此,在处理身份安全问题时,CISO优先考虑机器ID验证。
提高安全性和开发协作
在传统流程中,开发人员和安全团队彼此孤立。目前,DevOps优先考虑快速发布代码,并且不包括安全性,因此,安全与开发的时间线不同,产生了不必要的摩擦。
安全性成为CI/CD管道中不可分割的一部分。Jira等工具促进了所有团队之间的交流。例如,安全团队可以查看发布时间表,并消除代码验证过程产生的摩擦。诸如预先验证安全性的代码模板、从头实施安全性的编码标准,使用对预发布代码进行健壮性测试及安全测试的自动化测试工具。此外,安全团队还可以检查和预验证开发环境,以确保代码可移植性不会带来任何潜在的安全风险。
监控配置更改
DevOps环境优先考虑快速发布和反馈管理。因此,经常会发生配置更改,在快速发布环境中,配置变更导致了一些安全风险。CISO采用日志记录和审计工具有助于追踪和管理问题。
将安全引入敏捷开发是一项艰巨的任务,需要敏捷开发团队和安全团队的共同协作和努力,构建一个具备安全性的CI/CD 管道,开发更安全的产品。
来源:
