5 Schlüsselideen für 2022 / Sudo Null IT News

Wenn es um den Schutz Ihrer Cloud-Ressourcen geht, sollte die Sicherheit für Ihr gesamtes Unternehmen oberste Priorität haben. Der Weg zu einem ausgereiften DevSecOps ist nicht so einfach und offensichtlich, aber es gibt viele Experten, die wissen, welche Komponenten für ein zuverlässiges Sicherheitsprogramm benötigt werden.

Fast 85 % der Befragten von Upskilling IT 2022 gaben an, dass DevOps oder DevSecOps wichtige oder erforderliche Betriebsmodelle sind. Daher haben wir uns an Vertreter des DevOps Institute gewandt, die ihre Ansichten zu diesem wichtigen Thema geteilt haben. Hier sind einige allgemeine Ideen zum Aufbau einer effektiven DevSecOps-Strategie:

1. „Die Notwendigkeit, Sicherheit in die Hände von Entwicklern zu legen, wird immer deutlicher. Dieser Übergang zur sicheren Entwicklung ist kein einfacher Prozess. Entwickler haben eine Menge Verantwortung, daher lohnt es sich, alles sorgfältig abzuwägen, bevor Sie sicherheitsrelevante Aufgaben auf ihre Schultern legen. Um mit dem Aufbau von DevSecOps zu beginnen, muss das Top-Management des Unternehmens diese Initiative zu 100 % unterstützen, auch in Bezug auf die Finanzierung. Zusätzliche Tools werden benötigt, um sowohl das Lieferantennetzwerk als auch interne Unternehmenstools zu verwalten. Die Verpflichtung, das erforderliche Softwareinventar zu erstellen und zu verwenden, ist ein grundlegendes und wesentliches Schutzniveau innerhalb des DevSecOps-Ansatzes. Der erste Schritt besteht darin, ein CISA-Team (Certified Information Systems Auditor) aufzubauen, das beurteilen kann, wo sich die Organisation befindet, den Plan definiert und bereit ist, die harte Arbeit zu investieren, um ihn umzusetzen.“ – Tracey Ragan, CEO und Mitbegründerin von DeployHub.

2. „Sicherheit ist etwas, das sich kein Unternehmen leisten kann, aber aufgrund des zunehmenden Wettbewerbs und der schnellen Markteinführung wird es oft übersehen. Die Erstellung einer DevSecOps-Strategie beginnt mit der Absicht, die Verantwortung auf alle in der IT-Organisation aufzuteilen, indem die Sicherheitspraktiken während der Entwicklung geändert werden. Darüber hinaus reduziert die Einbeziehung von Sicherheitspraktiken auf allen Arbeitsebenen bis hin zum Betriebsteam häufig das Risiko auf einer höheren Ebene, indem die erforderliche Kontrolle und Transparenz der Prozesse innerhalb der Organisation bereitgestellt wird.

Um die Sicherheit und Automatisierung während des gesamten Softwarelebenszyklus zu verstärken, greifen Teams oft auf verschiedene Tools zurück, die auf dem Markt erhältlich sind. Es ist jedoch immer schwierig, die besten Sicherheitstools auszuwählen, die Schwachstellen beheben, aber auch die bestehende Kette von Tools und Prozessen ergänzen. Wie bei jedem neuen Tool muss damit gerechnet werden, dass sich die Leistungskurve vor der Implementierung ändert, und die Integrationszeitpläne können variieren und zwei bis drei Wochen dauern, und manchmal kann es in großen Organisationen aufgrund rechtlicher und betrieblicher Nuancen Monate dauern.

Versuchen Sie, die Sicherheit so weit wie möglich zu einem integralen Bestandteil Ihrer Entwicklungs- und Betriebsteams zu machen, sei es durch den Einbau von Sicherheit in die Pipeline oder auf andere Weise. Dies hilft der gesamten Organisation, schneller zu arbeiten, indem bessere, reaktionsschnellere Software entwickelt wird, in deren Lebenszyklus Sicherheit integriert ist.“ — Vishnu Vasudevan, Produktleiter bei Opsera.

3. „Ein gutes DevSecOps-Implementierungsprogramm beginnt mit einer DevSecOps-Fähigkeitsbewertung oder DSOCA und umfasst einen DSOCA-Bericht, der Folgendes umfasst:

  1. Definition von “DevSecOps”

  2. DevSecOps-Reifegrad

  3. Ergebnisse der DevSecOps-Fähigkeitsbewertung (Gelernte Bereiche, Probleme/Lücken)

  4. Wichtige Erkenntnisse aus Punkt 3

  5. Bestimmen Sie den aktuellen DevSecOps-Reifegrad der Organisation.

  6. Empfehlungen für Punkt 4, die zu schnellen Renditen führen, und wie Sie auf der Grundlage von Punkt 5 zum nächsten Schritt übergehen.

Sobald alle oben genannten Punkte festgelegt und klar definiert sind, brauchen wir ein großartiges DevSecOps-Framework, das alle wichtigen Erkenntnisse und Empfehlungen aus dem DSOCA-Bericht nutzt.

Es gibt vier Hauptkomponenten von DevSecOps, die identifiziert werden müssen:

– Kultur – Übergang von Sicherheitsbewusstsein/DevSecOps zu dem, was wir mit DevSecOps tun können.

– Prozess – wie man von DevOps zu DevSecOps oder von einer traditionellen zu einer modernen und sicheren Methode wechselt.

– Technologie – wie man Technologie für eine richtige DevSecOps-Transformation einsetzt.

– Management – ​​jede Initiative braucht eine gute Politik und ein gutes Management, damit die Organisation den Prozess optimieren kann, sowie Gebote und Verbote. – Najib Radzuan, Direktor von Digi Telecommunications.

4. „Die Einführung von DevSecOps erfordert einen strategischen Ansatz, der die Beteiligung von Menschen, die notwendigen Tools und operative Entscheidungen berücksichtigt. Zu den Personalanforderungen gehören die Ausrichtung des Top-Managements an der Sicherheitsvision, den Zielen, Prioritäten und der Ressourcenzuweisung für Schulungen, Tools und Automatisierung. Zu den technologischen Anforderungen gehören die Auswahl von Tools für die Modellierung von Sicherheitsbedrohungen, das Scannen von Software, das Packen, Testen, Analysieren und Berichten. Zu den Prozessanforderungen gehören die Automatisierung und Integration von Sicherheitskontrollen in Anwendungen, Pipelines und Infrastrukturen.“ – Mark Hornbeek, CEO und Hauptberater, Engineering DevOps Consulting.

5. „DevSecOps ist eine operative Struktur, die Teams aus Entwicklern und Sicherheitsexperten zusammenbringt. Es wurde entwickelt, um Sicherheitsteams und Sicherheitstools direkt in den Lebenszyklus der Softwareentwicklung zu integrieren, was automatisierte Sicherheitstests sowie automatisierte Erstellung und Bereitstellung von Anwendungen mit automatisierten Qualitätsprüfungen erleichtert. Ernennen Sie einen Sicherheitsbeauftragten, der wiederholt, dass Sicherheit in der Verantwortung aller liegt.

Wichtige Punkte für den Aufbau einer DevSecOps-Strategie:

  1. Erkennen von DevSecOps als kulturelle Veränderung

  2. Schulen Sie bestehende Teams in Sicherheitsprozessen und -methoden

  3. Richten Sie Ihre Sicherheitspraktiken an Ihrem Entwicklungsworkflow aus (und umgekehrt)

  4. Predigen Sie, dass die Sicherheit mit dem Bedürfnis nach Geschwindigkeit Schritt halten kann

  5. Erweitern Sie Ihre Sicherheitspraktiken von der Schwachstellenprävention auf die Schwachstellenerkennung.

  6. Planen Sie ein Sicherheitsbudget zur Unterstützung Ihres Arbeitsablaufs ein.“ – Parvin Arora, Gründer und Direktor von VVnt SeQuor.

Botschafter sind sich einig, dass nicht nur die Tools und Techniken für den Erfolg von DevSecOps wichtig sind, sondern dass die Sicherheit wirklich in die Unternehmenskultur integriert werden und in die Verantwortung aller übergehen muss. Helen Beale, Chief Ambassador des DevOps Institute, sagte: „Anstatt nur eine Strategie zu entwickeln, würde ich eine Kultur fördern, in der Sicherheit die Aufgabe aller ist und ein anpassungsfähiges und reaktionsfähiges DevSecOps-Framework vorhanden ist, um die Anforderungen kontinuierlich zu erfüllen.“

PS: noch mehr DevOps News und Artikel in unserem Telegram Channel DevOps FMmitmachen, um auf dem Laufenden zu bleiben.

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *