乐趣区

关于oushudb-hawq:OushuDB-小课堂丨左移不是你所期望的

让咱们来谈谈房间里的大象——“左移”并没有像咱们许多人预期的那样对咱们的软件平安产生影响。尽管它的确有很多长处并且以不可或缺的形式影响了安全性,但我认为“左移”应该被视为更大管理策略中的一种策略,而不是解决应用程序平安问题的综合解决方案。正如软件开发是一个非常复杂的多层次过程一样,“左移”不应被视为一种简略的线性工作。这篇博文将回顾“左移”的胜利、担心和后劲,以及咱们如何通过略微不同的利用来“重启”这个过程。

什么是“左移”?
“左移”是一个绝对较新的平安办法这要求在开发周期的最早“左侧”即创立阶段开始应用程序平安流程。形容软件开发生命周期及其元素的办法有多种,但一种广泛认可的合成办法是从制订打算开始,而后进入编码、构建、测试、公布、部署、经营,最初是监控。这个过程的最右边是“创立”阶段,最左边是理论装置和应用货色的“操作”畛域。“向左挪动”定义了将操作挪动到最左侧的不同形式,供开发人员解决。

能够“左移”的流程包含测试,这通常作为第一个“左移”工作来施行。测试能够帮忙组织从最早阶段解决问题——当他们打算、创立和编码时。在最早阶段解决问题能够显着进步在进入经营阶段时遇到的问题更少、修复起来更容易、老本更低的可能性。

“左移”是什么意思?
从最早阶段解决问题能够减少防止谬误的机会,确保软件投入生产,并对编写代码和负责运行代码的人员的任何问题施行疾速精确的修复。“左移”的一个胜利例子是容器化和其余类型的包装,当 库伯内斯 呈现了。“左移”让咱们明确,当一个软件工件被正确打包后,它能够使部署、运行和监控它的后续步骤变得容易得多。自动化与容器化和软件工件打包相结合,使咱们可能十分无效地简化整个部署操作。另一个“左移”胜利案例是归因——“左移”使咱们可能发动和扩充对于代码所有者的对话,使工程组织可能辨认代码背地的开发人员,并使开发人员本人的流程更加简化。开发人员心愿编写好的代码,并且“左移”将这种与安全性的对话推到了最前沿,而不是对抗性的。

“左移”平安测试挑战
只管它曾经齐全适应,但平安测试曾经产生了不同水平的影响。独自测试须要肯定程度的技能或工程成熟度,这对某些组织来说可能是一个阻碍,它们可能无奈取得领有残缺测试套件的全副益处。事实上,在大多数工程组织中依然存在缓解管制性能,因为基于开发人员的测试不被认为是惟一的实在起源。组织理解他们须要 QA 性能来挑战测试工具,并充当后果的最终质量保证和管制性能。

“左移”平安修复挑战
平安工具为您提供许多警报,这些警报难以了解、确定优先级和采取行动。开发人员应该分类并尝试缓解什么?开发人员依然能够公布并在工程过程中向前推动而不响应平安测试通知他们的内容,这杯水车薪。许多测试更像是“合成”阻断器而不是真正的阻断器——开发人员能够在工作流程中挑战这些阻断器,并会找到解决办法以防止修复它们。

对于那些被归类为须要缓解的要害警报,安全部门没有能力为开发人员分类这些问题。另一方面,开发人员可能不足本人进行分类的常识。开发人员不是平安业余人员,不能指望他们了解代码背地的含意和上下文。无奈独立进行分类,再加上大量的警报,在开发人员和平安团队之间产生了摩擦,随着对这些测试工具的抵制和流程自身的增长,合作变得更加艰难。

应用“左移”实现代码平安的可行技巧
我整顿了一些根本准则,这些准则能够帮忙缓解危险并创立更衰弱的代码平安文化。咱们都批准必须修复破绽,但“左移”未能意识到这是一个过程,而不是欲速不达的事件。不应冀望或要求工程师立刻解决所有问题。如果咱们从小步开始,咱们就会明确有些货色更容易向左挪动。这将成为向左转移问题缓解的真正旅程的第一步,同时倒退一种更衰弱的文化,让开发人员对他们编写的代码负责。

我的第一个根本倡议是抵赖真正的转变只有在研发部门决定它应该产生时才会产生。平安不是解决问题的人,因而为了压服开发人员这样做,咱们必须向他们提供每个问题的业务背景以显示其紧迫性,或者只是敌对地询问。咱们必须达到研发组织被迫决定将平安流动拉到右边的境地。作为平安业余人员,咱们必须专一于为其余团队带来价值的工作,并应提出有助于研发工作的议程。这意味着在他们的游乐场内游玩,而不是引入其余工具或新门户并要求他们应用它们。

随着组织规模的扩充,危险抵抗力是自下而上建设的,但也是自上而下的——与管理层一起建设。确保经理给他们的团队足够的资源来解决平安问题,并且开发人员对创立有问题的工件不感兴趣。

为了以可继续和可扩大的形式开始“左移”,组织应该从一开始就推动归因的采纳。这意味着理解每个工件是什么、它由什么组成以及它的业务性能是什么,这样咱们就能够反对优先级排序并改良警报所需的工作。如果有重大警报,咱们会确切地晓得它是否会失去解决。当您正确实现作业并领有资产清单(其中每个工件都调配有平安和补救策略)时,组织能够打消无休止的探讨和破费在分类上的过多工夫。只有当开发人员真正将他们的平安生命周期构建到他们的工作流中时,“左移”能力达到预期的成果。作为平安专家,咱们须要帮忙他们这样做。

更多内容请关注 OushuDB 小课堂

退出移动版