3 问 6 步,极狐GitLab 帮助企业构建高效、安全、合规的 DevSecOps 文化
本文来源:about.gitlab.com
作者:Vanessa Wegner
译者:极狐(GitLab) 市场部内容团队
安全为何重要?此前,我们分享了:
1. 2023年DevOps发展趋势重磅!GitLab 提出五大预测,洞见 2023 年 DevSecOps 发展趋势
2. 现代软件为何需要新的应用程序安全方法 GitLab 专家分享:关于 DevSecOps ,你需要知道这几点
今天我们来看,如何构建高效、安全、合规的 DevSecOps 文化,enjoy~
你需要为安全负责吗?
如小标题所问,也许安全不在你的岗位和工作描述中,但是答案是肯定的:你需要为安全负责。
任何一个员工都应该为其工作的安全负责。不幸的是,很多组织并没有明确说明这一点,也没有将安全作为政策来执行。随着安全漏洞在安全工程师的桌面上堆积成山,研发人员迫切想知道:要经历多少次修复,代码才是安全的?
DevSecOps 颠覆了传统的安全性,但需要强大的安全文化,才能获得持续成功。
什么是安全文化?
安全文化意味着所有人——从董事会成员到实习生,都必须关注安全并行动起来保障安全。每项决策和每项工作都应该考虑安全性。
这似乎违反直觉,而且也不是 DevSecOps 承诺的效率。但是,将安全嵌入到每个员工的日常行为中,安全团队的工作量就会大大减少,最终的产品也会更安全。这就是很多公司谈论的“安全左移”:在软件开发生命周期中,将安全前置,以改进规划、测试更多代码并在非安全团队成员中建立问责制。
如何让安全文化成为你的默认状态?
你必须将安全纳入新员工入职培训,否则很难创建一个习以为常的安全文化。因为员工需要以不同的方式思考和行事,并最终将这些改变变成习惯,让安全成为他们日常工作的自然组成部分。
Step 1: 文化变革始于高层
如果你的组织将安全留给了 “某个团队”,构建安全文化首先需要让董事会成员和管理层都参与到这场变革中。通过将安全作为全公司的举措来定下基调,让每个人都知道安全是重中之重,而无关乎工作职能或组织形式。
Step 2: 意识、教育和相互理解
要为员工提供培训,让员工了解如何将安全融合到他们所做的每一件工作中。
透明度是构建信任的关键,因此员工需要知道安全为什么重要以及为了实现安全目标,他们可以做哪些方面的贡献。另一方面,需要让培训人员了解业务和 DevOps 实践对安全的需求。这有利于培训人员帮助你的团队共同制定让安全和研发紧密结合的策略。
Step 3: 在开发中寻找 “安全冠军”
一些员工会很热情地拥抱安全,那么为这些 “安全冠军” 提供额外资源和教育机会,增加他们的知识,并使他们成为周围人的请教对象和资源,这是非常有帮助的。
Step 4:鼓励跨职能团队协作
应该让团队成员在跨职能团队协作时感到舒适,诸如问问题、分享信息(非敏感信息)。
DevSecOps 通过打破 “仓筒” 来创建更高效的流程,这么做确实有助于改善沟通,并在团队之间建立友谊。如果将安全归属于多团队的努力,员工将感受到鼓励而加入安全工作流中。
Step5:给开发者提供他们需要的工具
如果安全措施能够无缝融入开发人员的工作流程,将更容易被采用。
安全即代码发挥着重要作用:当策略、测试和扫描集成到流水线和代码本身时,开发人员可以进行更安全的工作。过多的工具切换,会抵消安全左移的好处,因此,最好使你的技术堆栈尽可能简单以来保持效率。
Step6:适当的自动化
自动化对于大规模推进安全性来说至关重要,而且对于非安全人员而言,也更能容易被接受。
例如在开发人员的工作流中,可以针对每次代码变更进行静态应用程序安全测试(SAST)。这些扫描结果就会自动填充到安全仪表盘中,指导下一步工作。
安全不是可选项,而是必选项
安全文化的构建,值得付出努力。将安全作为你团队的首要任务,加强技术防御,将帮助你抵御不断变化的威胁,持续进行创新。