Когда дело доходит до защиты ваших облачных ресурсов, безопасность должна быть основным приоритетом всей организации. Путь к зрелому DevSecOps нет так прост и очевиден, но есть много экспертов, которые знают, какие необходимы компоненты для надежной программы безопасности.
Почти 85% респондентов Upskilling IT 2022 заявили, что DevOps или DevSecOps являются важными или необходимыми операционными моделями. Поэтому мы обратились к представителям DevOps Institute, которые поделились своим мнением по этой важной теме. Вот несколько общих идей о том, как выстроить эффективную DevSecOps-стратегию:
1. «Необходимость передачи вопроса безопасности в руки разработчиков становится все более очевидной. Такой переход к безопасной разработке - не самый легкий процесс. У разработчиков много обязанностей, поэтому прежде чем возложить на их плечи еще и задачи, связанные с требованиями безопасности, стоит хорошо всё взвесить. Чтобы начать выстраивать DevSecOps, высшее руководство компании должно на 100% поддерживать эту инициативу, в том числе с точки зрения финансирования. Потребуются дополнительные инструменты для управления как сетью поставщиков, так и внутренними корпоративными инструментами. Решимость создавать и использовать необходимый перечень программного обеспечения станет базовым и существенным уровнем защиты в рамках подхода DevSecOps. Первым шагом является создание команды CISA (Certified Information Systems Auditor), которая может оценить, на каком этапе находится организация, определить план и быть готовой проделать большую работу для его реализации». – Трейси Рэган, генеральный директор и соучредитель DeployHub.
2. «Безопасность — это то, чем ни одна компания не может позволить себе поступиться, однако её часто упускают из виду из-за растущей конкуренции и скорости выхода на рынок. Создание DevSecOps-стратегии начинается с намерения разделить ответственность среди всех и каждого в ИТ-организации путем изменения методов обеспечения безопасности в процессе разработки. Кроме того, включение практик безопасности на всех уровнях работы, вплоть до операционной группы, часто снижает риск на более высоком уровне за счет обеспечения необходимого контроля и прозрачности процессов внутри организации.
Чтобы укрепить безопасность и автоматизацию на протяжении всего жизненного цикла программного обеспечения, команды часто обращаются к различным инструментам, доступным на рынке. Однако, всегда непросто выбрать лучшие инструменты безопасности, которые устраняют уязвимости, но также дополняют существующую цепочку инструментов и процессов. Как и в случае с любым новым инструментом, перед внедрением следует ожидать изменения кривой производительности, и сроки интеграции могут варьироваться, занимая две-три недели, а иногда, в крупных организациях, это может занять месяцы из-за юридических и корпоративных нюансов.
Пытайтесь сделать безопасность неотъемлемой частью ваших команд разработки и эксплуатации, настолько насколько это возможно, - будь то с помощью встраивания безопасности в пайплайн или другим способом. Это помогает всей организации работать быстрее, создавая более качественное программное обеспечение, соответствующее всем необходимым требованиям, в жизненный цикл которого уже встроена безопасность». — Вишну Васудеван, руководитель отдела продуктов Opsera.
3. «Хорошая программа внедрения DevSecOps начинается с проведения оценки возможностей DevSecOps, или DSOCA, и будет содержать отчет DSOCA, который состоит из следующих пунктов:
Определение «DevSecOps»
Уровень зрелости DevSecOps
Результаты оценки возможностей DevSecOps (область, что мы узнали, проблемы/пробелы)
Основные выводы из пункта № 3
Определение текущего уровня зрелости DevSecOps для организации.
Рекомендации к пункту № 4, которые приведут к быстрой отдаче, и как перейти к следующему шагу на основе пункта № 5.
После того, как все вышеперечисленное установлено и четко определено, нам нужна отличная структура DevSecOps, использующая все основные выводы и рекомендации из отчета DSOCA.
Необходимо выделить четыре основных компонента DevSecOps:
– Культура – переход от осведомленности о безопасности/DevSecOps к тому, что мы можем сделать с DevSecOps.
– Процесс – как перейти от DevOps к DevSecOps или от традиционного к современному и безопасному методу.
– Технология – как использовать технологию для надлежащей DevSecOps-трансформации.
– Управление - любая инициатива нуждается в хорошей политике и управлении, чтобы организация могла оптимизировать процесс, а также все «можно» и «нельзя». – Наджиб Радзуан, директор Digi Telecommunications.
4. «Внедрение DevSecOps требует стратегического подхода, учитывающего участие людей, необходимые инструменты и операционные решения. Требования к персоналу включают в себя согласованность действий высшего руководства в отношении концепции безопасности, целей, приоритетов и выделения ресурсов для обучения, инструментов и автоматизации. Технологические требования включают в себя выбор инструментов для моделирования угроз безопасности, сканирования программного обеспечения, комплектации, тестирования, анализа и составления отчетов. Требования к процессам включают автоматизацию и интеграцию средств управления безопасностью с приложениями, конвейерами и инфраструктурами». – Марк Хорнбик, генеральный директор и главный консультант, Engineering DevOps Consulting.
5. «DevSecOps — это операционная структура, объединяющая команды разработчиков и специалистов по безопасности. Он построен с интеграцией групп безопасности и инструментов безопасности непосредственно в жизненный цикл разработки программного обеспечения.Это способствует автоматическому тестированию безопасности, а также автоматизированной сборке и развертыванию приложений с автоматическими проверками качества. Назначение ответственного за безопасность, который будет повторять, что безопасность — это обязанность каждого.
Ключевые моменты для построения стратегии DevSecOps:
Признание DevSecOps культурным изменением
Обучите существующие команды процессам и методологиям безопасности
Согласуйте свои методы обеспечения безопасности с рабочим процессом разработки (и наоборот)
Проповедуйте, что безопасность может идти в ногу с потребностями в скорости
Расширьте методы обеспечения безопасности от предотвращения уязвимостей до выявления уязвимостей.
Выделите бюджет, выделяемый на обеспечение безопасности для поддержки рабочего процесса», — Парвин Арора, основатель и директор VVnt SeQuor.
Амбассадоры согласны с тем, что для успеха DevSecOps важны не только инструменты и методы, но безопасность действительно должна быть встроена в корпоративную культуру и стать обязанностью каждого. Хелен Бил, главный амбассадор DevOps Institute, сказала: «Вместо того чтобы именно создавать стратегию, я бы взращивала культуру, в которой безопасность — это работа каждого, а адаптивная и быстро реагирующая структура DevSecOps существует для постоянного соответствия требованиям».
P.S.: еще больше новостей и статей по теме DevOps - в нашем telegram-канале DevOps FM, присоединяйтесь, чтобы быть в курсе.