Einführung
Die Motivation, diesen Artikel zu schreiben, entstand aus zahlreichen Gesprächen mit Kollegen und Kunden, die uns ihre Gedanken über die Integration von Sicherheit in ihren Unternehmen und die damit verbundenen Herausforderungen mitteilten. Mit dieser Blogserie möchten wir Sie inspirieren und Ihnen den Einstieg in Ihre DevSecOps-Reise erleichtern. Dieser Teil zielt darauf ab, Ihnen die nicht-technischen Aspekte von DevSecOps näher zu bringen und zu zeigen, wie diese die Organisation und die Menschen beeinflussen. Künftige Teile werden sich mit den technischen Aspekten befassen und damit, wie Sie diese anwenden können, um die Prinzipien von Flow, Feedback und kontinuierlichem Lernen einzuhalten.
Was ist DevSecOps?
- DevOps
- Wie hängt die Sicherheit mit DevOps zusammen?
DevOps kombiniert kulturelle Philosophien, Praktiken und Tools, die die Fähigkeit eines Unternehmens verbessern, Anwendungen und Dienste mit hoher Geschwindigkeit bereitzustellen. Bei dieser hohen Geschwindigkeit sind die alten Methoden zur Sicherung Ihrer Dienste nicht mehr haltbar.
Das DevSecOps Manifest
Das Manifest verkörpert die Kernprinzipien von DevSecOps und zielt darauf ab, die Wahrnehmung von Sicherheit innerhalb einer Organisation zu verändern.
- Beugen Sie sich vor, sagen Sie immer "Nein"
- Daten & Sicherheit Wissenschaft über Angst, Ungewissheit und Zweifel
- Offene Beiträge und Zusammenarbeit statt reiner Sicherheitsanforderungen
- Verbrauchbare Sicherheitsdienste mit APIs über vorgeschriebene Sicherheitskontrollen und Papierkram
- Business-orientierte Sicherheit punktet vor Gummistempel-Sicherheit
- Red & Blue Team Exploit Testing statt Verlassen auf Scans und theoretische Schwachstellen
- Proaktive 24x7-Sicherheitsüberwachung gegenüber der Reaktion auf einen Vorfall
- Gemeinsame Informationen über Bedrohungen statt Informationen für sich selbst zu behalten
- Compliance-Operationen über Klemmbretter & Checklisten
Quelle: DevSecOps.org
Warum brauchen Sie DevSecOps?
- Traditionelle Sicherheit und das Problem
- Fluss, Feedback, Lernen
Das Manifest kann uns helfen, einige Gründe für die Einführung von DevSecOps zu verstehen, aber Sie müssen tiefer graben, um den für Ihr Unternehmen notwendigen Kontext zu finden.
Traditionelle Sicherheit wird in der schnelllebigen Welt von DevOps oft zu einem Bürger zweiter Klasse. Die Arbeitsweise ist nicht geeignet, um mit der Geschwindigkeit der Wertströme Schritt zu halten. Sie hinken hinterher und spielen die Rolle von Gatekeepern, die die Geschwindigkeit der Wertströme durch lange Feedbackschleifen und komplizierte Lernprozesse verringern.
Deshalb brauchen wir einen neuen Ansatz, um Sicherheit als Qualität unserer Dienstleistungen in unsere Wertströme einzubinden. Die Integration von Sicherheitsqualitätsprüfungen in den frühen Phasen des Wertstroms wird den Fluss verbessern, indem die Qualitätsprüfungen über den gesamten Wertstrom verteilt werden. Das wiederum ermöglicht kürzere Feedbackschleifen und bietet Lernmöglichkeiten in kleineren und besser verdaulichen Stücken.
Mit mundgerechten Stücken machen wir Self-Service, Iteration und inkrementelle Änderungen viel einfacher und senken das Risiko dieser Änderungen. Ein schnelleres Tempo, weniger Risiko und das Erkennen von Fehlern in den frühen Stadien bringen mehr Kosteneinsparungen.
Letztlich wird jede Organisation ihre Gründe haben, die für eine andere Organisation vielleicht nicht funktionieren oder sinnvoll sind. Die Reise muss für Ihre Bedürfnisse maßgeschneidert sein.
Wie startet man es?
- Nehmen Sie den Service an
- Integrieren Sie Sicherheit als Qualität
- Versammeln Sie Ihre Champions
Das "Warum" aus dem vorherigen Abschnitt kann Ihnen helfen, die Richtung und den Umfang des "Wie" bei der Einrichtung eines DevSecOps-Programms festzulegen. Es ist von entscheidender Bedeutung, dass die Organisation bei der bevorstehenden Umgestaltung mit an Bord ist.
Embrace - Unsere Aufgabe besteht nicht nur darin, 'Code zu schreiben', sondern 'einen Dienst zu betreiben'.
Es ist ein Umdenken erforderlich, und die bestehenden Sicherheitsteams müssen aufstehen und Security as a Service anstelle des Overseer-Ansatzes übernehmen. In den meisten Fällen muss das Sicherheitsteam über den notwendigen Kontext verfügen, um die von seinen Tools gewonnenen Erkenntnisse zu bewerten. Erlauben Sie den Teams, die über diesen Kontext verfügen, Ihre Ergebnisse zu konsumieren und zu bewerten.
Integrieren Sie Sicherheit als Code in Pipelines. Beginnen Sie mit parallelen Tests, die die Pipeline nicht unterbrechen oder anhalten, sondern dem Team Feedback geben. Sammeln Sie die Ergebnisse und bilden Sie Ihre Metriken und Tracking-KPIs
Finden Sie ein Gleichgewicht zwischen Sicherheit, Konformität und Geschwindigkeit der Bereitstellung und bauen Sie den Schutz in die Plattformen und Pipelines ein.
Versammeln Sie Menschen, die sich für Sicherheit interessieren, und schaffen Sie ein Security-Champions-Programm, stellen Sie Zeit zur Verfügung, um über Sicherheit und die einzigartigen Lösungen zu sprechen, die sie sich ausgedacht haben, und geben Sie ihnen die Möglichkeit, ihr Wissen zu teilen.
Nächste Schritte
In unseren nächsten Beiträgen werden wir tiefer in die technischen Aspekte und Sicherheitsfunktionen eintauchen, die Sie in Ihre Wertströme implementieren können. Wir würden uns freuen, von Ihnen zu hören, welchen Teil des Wertstroms Sie zuerst hören möchten. Senden Sie eine E-Mail mit Ihren Vorschlägen an fchyla@xebia.com.
Verfasst von
Filip Chyla
"By failing to prepare, you are prepared to fail." Enable the business to grow securely and productively. Have a direction and start walking; you can continually realign. Help team members find their path and facilitate their journey. If you want to get far, go together. I am purple; I enjoy being on both sides of security. You need to know where to dig the trench or put the wall, and to do that, you need to know your weak points. I am always asking where we can set up the next layer.
Unsere Ideen
Weitere Blogs
Contact