日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

2015年Mir Ali加入惠譽(yù)評級(Fitch Ratings)時，公司已經(jīng)在熱議改變軟件流程，原因是軟件堆棧不可靠?；葑u(yù)評級是一家金融公司，與穆迪和標(biāo)準(zhǔn)普爾同為美國證券交易委員會(SEC)認(rèn)定的三大全國公認(rèn)的統(tǒng)計評級機(jī)構(gòu)。

現(xiàn)為惠譽(yù)共享服務(wù)主管的Ali表示，讓一家百年歷史的公司改用DevSecOps(開發(fā)安全運(yùn)維)并非易事。但再也不能無視存在的問題了。他說，大家基本上不明白出現(xiàn)在生產(chǎn)環(huán)境中的情況。故障太多，無法追根溯源，整條管道上下缺乏合作。事件發(fā)生時，沒有人知道原因，也不知道該怎么做。標(biāo)準(zhǔn)程序就是重啟數(shù)據(jù)庫服務(wù)。這在SEC監(jiān)管的公司顯然是不可接受的。

重大挑戰(zhàn)

一個挑戰(zhàn)是普遍缺乏安全知識。另一個挑戰(zhàn)是缺乏合作或?qū)€人的責(zé)任缺乏了解。***是自動化不足。

起初，有很多事情要做，很難分清輕重緩急。團(tuán)隊冷靜下來思考，對于他們想要的內(nèi)容從長計議，而這個愿景為他們隨后的所有決策提供了指導(dǎo)。

他們決定將消除安全缺陷放在首位。剩余的任務(wù)分為三個方面。他們希望在整個開發(fā)過程中確保安全，并在整個公司中實現(xiàn)這套流程標(biāo)準(zhǔn)化。***，他們希望盡可能地簡化流程。

Ali表示，簡而言之，DevSecOps擴(kuò)大了DevOps合作的范圍，包括安全。

devsecops.org聲稱：“DevSecOps的目的和意圖是立足于‘每個人都對安全負(fù)責(zé)’這個理念，目的是在不犧牲所需安全的情況下，盡快讓***層的人員做出安全決策。”

在整個開發(fā)過程中運(yùn)用安全

Ali表示，關(guān)鍵是將安全整合到DevOps管道中，因而讓安全成為整個軟件開發(fā)過程中不可或缺的一部分。

圖1：惠譽(yù)的DevSecOps管道中的安全檢查點

管理團(tuán)隊一開始在打破整個DevOps管道的孤島時，將安全專家安插到了每個團(tuán)隊。他說：“讓他們覺得自己是團(tuán)隊的一員，聽取他們的意見，運(yùn)用他們的技能。讓這成為自動化的一部分。”安全專家讓你洞察上下文，提供了專業(yè)知識，了解***風(fēng)險以及我們需要注意什么。安全成了每個人的工作。

接下來，他們部署了安全工具。Ali說：“這不僅僅與工具有關(guān)，你還要部署使安全成為可能的工具?！北热缯f，良好的儀表板以及自動化是關(guān)鍵。為了確保持續(xù)交付管道的安全性，適當(dāng)?shù)脑L問控制、嚴(yán)加保護(hù)構(gòu)建系統(tǒng)以及統(tǒng)一命名約定是幾個優(yōu)先事項。

他們從容易見效的方面著手。雅虎的數(shù)據(jù)泄露是由于它的系統(tǒng)沒有落實密碼保護(hù)機(jī)制，因此有人克隆了其數(shù)據(jù)庫。他表示，應(yīng)該避免這樣的情況。所以***步是，默認(rèn)任何人都無權(quán)訪問。必須授予權(quán)限，而且完全基于角色并自動化。

“加密一切”成了新的座右銘。深入了解管道是另一個關(guān)鍵方面。Ali建議：“確保日志條目一目了然。”許多日志看起來像亂碼，這在排除故障時毫無助益。

設(shè)立安全檢查點

一旦基本的整體安全到位，他們開始為管道設(shè)立自動化安全檢查點。他說：“如果系統(tǒng)沒有通過，工程師會關(guān)閉系統(tǒng)，說‘稍后我再處理’，但他們永遠(yuǎn)不會處理。”通過自動化檢查點，你不給他們這樣的機(jī)會。他們使用Gauntlt，這個工具讓用戶可以專門針對安全編寫自動化測試。

圖2：惠譽(yù)的DevSecOps管道

Ail加入時，工程師們一直在部署擴(kuò)展數(shù)據(jù)規(guī)模的解決方案，但是每個團(tuán)隊獨立工作，因此部署了各種各樣的解決方案，工程師們給出了一大堆不同的選擇。一段時間后，工程師們?yōu)楣艿赖拿總€部分選擇了滿足要求的***解決方案，并使其成為標(biāo)準(zhǔn)。

與PagerDuty自己的DevOps轉(zhuǎn)型相似，這個項目耗時大概三年。

DevSecOps的誤區(qū)

Ali表示，DevSecOps方面有幾個誤區(qū)需要揭穿。***個誤區(qū)是，如果你實現(xiàn)安全自動化，就放棄了控制。事實上，這讓貴公司更加合規(guī)。自動化提供了一致性和可追溯性。

下一個誤區(qū)是，只要添加安全工具即可打造DevSecOps。關(guān)鍵不是添加新工具，也不是增加更多的開發(fā)人員。他表示，DevSecOps不是一種能力，而是一種理念。“可以借助已有的開發(fā)人員輕松做這項工作?！弊尠踩蔀樗麄児ぷ鞯囊徊糠?，成為績效評估的一部分。

從哪兒開始?

仍然不知所措?答案是從小處入手。Ali先從電子郵件集成入手，慢慢地添加了工具，開始打破孤島，改變期望目標(biāo)。電子郵件集成完成后，該公司開始使用PagerDuty的警報服務(wù)，這促使公司集成了Atlassian的Jira錯誤跟蹤系統(tǒng)，整條管道集中起來，擁有日志和智能監(jiān)控功能。

三年后的今天，他們在故障發(fā)生之前就能發(fā)現(xiàn)隱患。

開發(fā)人員面臨的***挑戰(zhàn)

你要站在開發(fā)人員的角度來考慮。如果你告訴他們，你要自動化，要使用DevOps工具，現(xiàn)在說‘還要融入安全’，那么從他們的角度來看，突然之間有三份工作，而不是只有一份工作。

Ali說：“有鑒于此，我會討厭那樣的工作?！庇谑撬尤牍?，積極提供指導(dǎo)和支持。他告訴團(tuán)隊，他們要提供培訓(xùn)、工具和框架，并支持開發(fā)人員的工作。

看到大部分工作已完成，開發(fā)團(tuán)隊意識到他們不得不充分利用自動化?，F(xiàn)在，沒人簽入代碼，每個人都很自然地完成工作。部署不再是個問題。

他說：“仍然存在挑戰(zhàn)，但我們已經(jīng)為他們開始采用DevSecOps開辟了一條道路。”

***提示

他說：“你要意識到你把數(shù)據(jù)放在哪里，弄清楚里面有什么數(shù)據(jù)，如何檢查數(shù)據(jù)，誰與數(shù)據(jù)交互以及數(shù)據(jù)如何受到保護(hù)。”

“除非你提出這些問題，否則你的應(yīng)用程序和數(shù)據(jù)是不安全的。”

當(dāng)前名稱：百年老店惠譽(yù)評級公司成功升級到DevSecOps應(yīng)對了哪些挑戰(zhàn)？
本文來源：http://www.dlmjj.cn/article/dpepddi.html