本文起源:about.gitlab.com
作者:Vanessa Wegner
译者:极狐(GitLab) 市场部内容团队
🔒 平安为何重要?此前,咱们分享了:
1. 2023 年 DevOps 发展趋势👉重磅!GitLab 提出五大预测,洞见 2023 年 DevSecOps 发展趋势
2. 古代软件为何须要新的应用程序平安办法👉 GitLab 专家分享:对于 DevSecOps,你须要晓得这几点
明天咱们来看,如何构建 高效、平安、合规的 DevSecOps 文化,enjoy~
你须要为平安负责吗?
如小标题所问,兴许平安不在你的岗位和工作形容中,然而答案是必定的:你须要为平安负责。
任何一个员工都应该为其工作的平安负责。可怜的是,很多组织并没有明确阐明这一点,也没有将平安作为政策来执行。随着安全漏洞在平安工程师的桌面上堆积成山,研发人员迫切想晓得:要经验多少次修复,代码才是平安的?
DevSecOps 颠覆了传统的安全性,但须要弱小的平安文化,能力取得继续胜利。
什么是平安文化?
平安文化意味着所有人——从董事会成员到实习生,都必须关注平安并口头起来保障平安。每项决策和每项工作都应该思考安全性。
这仿佛违反直觉,而且也不是 DevSecOps 承诺的效率。然而,将平安嵌入到每个员工的日常行为中,平安团队的工作量就会大大减少,最终的产品也会更平安。这就是很多公司议论的“平安左移”:在软件开发生命周期中,将平安前置,以改良布局、测试更多代码并在非平安团队成员中建设问责制。
如何让平安文化成为你的默认状态?
你必须将平安纳入新员工入职培训,否则很难创立一个司空见惯的平安文化。因为员工须要以不同的形式思考和行事,并最终将这些扭转变成习惯,让平安成为他们日常工作的天然组成部分。
Step 1: 文化改革始于高层
如果你的组织将平安留给了“某个团队”,构建平安文化首先须要让董事会成员和管理层都参加到这场改革中。通过将平安作为全公司的动作来定下基调,让每个人都晓得平安是重中之重,而无关乎工作职能或组织模式。
Step 2: 意识、教育和相互理解
要为员工提供培训,让员工理解如何将平安交融到他们所做的每一件工作中。
透明度是构建信赖的要害,因而员工须要晓得平安为什么重要以及为了实现平安指标,他们能够做哪些方面的奉献。另一方面,须要让培训人员理解业务和 DevOps 实际对平安的需要。这有利于培训人员帮忙你的团队独特制订让平安和研发紧密结合的策略。
Step 3: 在开发中寻找“平安冠军”
一些员工会很激情地拥抱平安,那么为这些“平安冠军”提供额定资源和教育机会,减少他们的常识,并使他们成为四周人的求教对象和资源,这是十分有帮忙的。
Step 4:激励跨职能团队合作
应该让团队成员在跨职能团队合作时感到舒服,诸如问问题、分享信息(非敏感信息)。
DevSecOps 通过突破“仓筒”来创立更高效的流程,这么做的确有助于改善沟通,并在团队之间建设友情。如果将平安归属于多团队的致力,员工将感触到激励而退出平安工作流中。
Step5:给开发者提供他们须要的工具
如果安全措施可能无缝融入开发人员的工作流程,将更容易被采纳。
平安即代码施展着重要作用:当策略、测试和扫描集成到流水线和代码自身时,开发人员能够进行更平安的工作。过多的工具切换,会对消平安左移的益处,因而,最好使你的技术堆栈尽可能简略以来放弃效率。
Step6:适当的自动化
自动化对于大规模推动安全性来说至关重要,而且对于非平安人员而言,也更能容易被承受。
例如在开发人员的工作流中,能够针对每次代码变更进行动态应用程序平安测试(SAST)。这些扫描后果就会主动填充到平安仪表盘中,领导下一步工作。
平安不是可选项,而是必选项
平安文化的构建,值得付出致力。将平安作为你团队的首要任务,增强技术进攻,将帮忙你抵挡一直变动的威逼,继续进行翻新。