所謂左移和右移是相對于軟件生命周期而言" />

国产成人精品无码青草_亚洲国产美女精品久久久久∴_欧美人与鲁交大毛片免费_国产果冻豆传媒麻婆精东

18143453325 在線咨詢 在線咨詢
18143453325 在線咨詢
所在位置: 首頁 > 營銷資訊 > 行業(yè)動態(tài) > DevSecOps的下沉

DevSecOps的下沉

時間:2022-04-12 03:09:01 | 來源:行業(yè)動態(tài)

時間:2022-04-12 03:09:01 來源:行業(yè)動態(tài)

蔣帆認為,DevSecOps不能懸在空中,需要下沉,將安全工作進行全方位的內(nèi)建是必然的趨勢。也就是我們常說的左移和右移,這樣DevSecOps實踐、平臺和工具能夠軟件生命周期的各個環(huán)節(jié)。

所謂左移和右移是相對于軟件生命周期而言,向左即是朝著業(yè)務(wù)設(shè)計、項目啟動、需求梳理以及開發(fā)階段移動,向右是向著軟件的零信任架構(gòu)內(nèi)部、部署運行和維護階段移動。而中間就是當前常規(guī)安全審核與檢測工作本來所處的階段。這正體現(xiàn)了安全工作的全面滲透,而并不是待在一個點上等著作為守門員的角色而出現(xiàn)。蔣帆說。

應(yīng)該說,安全工作的全方位內(nèi)建不光要將工具納入到各個生命周期環(huán)節(jié)中,還要有方法體系進行指導(dǎo)。而ThoughtWorks最近兩期的技術(shù)雷達在實踐、平臺和技術(shù)都體現(xiàn)了DevSecOps工作左移和右移的趨勢。



蔣帆說,企業(yè)需要將安全工作下沉到開發(fā)團隊或者運維團隊,并配備相應(yīng)的DevSecOps工具平臺。而且企業(yè)需要有權(quán)責一體的角色定義,讓開發(fā)運維團隊構(gòu)建起對安全的認知,提升在安全方面的能力水平。

在推動DevSecOps工作的時候,很多企業(yè)都成立了獨立的安全團隊,不過開發(fā)團隊本身缺乏安全問題的一些意識認知、必要知識和上下文,而安全團隊缺乏軟件的架構(gòu)和業(yè)務(wù)上下文。因此在這個問題的處理上就容易產(chǎn)生一系列的分歧,例如業(yè)務(wù)優(yōu)先級、如何修復(fù)等等。

DevSecOps上的安全流水線不是單純由開發(fā)團隊負責或安全團隊負責。代碼和流水線所有權(quán)的分離同樣是一種守門員的心態(tài)而非內(nèi)建心態(tài)。安全專家應(yīng)該融入團隊進行各種上下文互相融合提供更好的解決方案,而不應(yīng)該劃定非常割裂的邊界,不同角色安全的職責邊界是存在交叉區(qū)域的,否則反而會阻礙安全工作的內(nèi)建。

關(guān)鍵詞:

74
73
25
news

版權(quán)所有? 億企邦 1997-2022 保留一切法律許可權(quán)利。

為了最佳展示效果,本站不支持IE9及以下版本的瀏覽器,建議您使用谷歌Chrome瀏覽器。 點擊下載Chrome瀏覽器
關(guān)閉