保护 DevOps 的 5 个技巧

对组织来说，构建一个坚实的基础和框架是DevOps取得成功的重要条件之一。

三个基本需求

1. 领导和管制

在需要做出决策的时候，领导负责带领团队提供指导和运营治理。尤其在面对频繁地软件部署及更新迭代时，同样面临与自动化有关的安全、监管和其他问题。如何平衡速度与安全的优先级?这仍然是当今采用DevOps实践的组织所面临的主要挑战之一。

建立有关人员和数据的组织领导和治理，以确保人们在正确的事情上工作，保持士气，为项目优先级提供方向，并为完成工作的正确工具做出预判。

2. 监管合规

随着现在对数据安全治理更加严格，对于数据传输尤其跨境传输更需要谨慎对待。确定监管需求，人们或其他服务从哪里访问数据? 涉及哪些跨境转账?

3. 风险管理

风险管理是技术管理中的一个基础问题，如果发生数据入侵或泄露会造成哪些损失?

产品或服务存在哪些技术漏洞、威胁和风险?需要什么样的安全测试，如静态/动态测试，渗透测试等。发现漏洞后如何采取修复或打补丁的措施?

在人事方面，在关键人员离开时是是否会带来潜在风险?采取哪些措施来应对这些风险?包括第三方、合同和隐私风险。

开源软件的使用呈增长趋势，对于其中的安全隐患同样不能掉以轻心。

两个框架活动

1. 软件开发生命周期 (SDLC)

SDLC至关重要。SDLC涉及所有的人员(团队、承包商、顾问)进行产品的设计和实现，包括使用什么模型，负责哪部分内容。当前API的使用在各种行业(包括包括医疗保健和零售)中大幅增加，API的使用也成为SDLC的一部分。

以下是在安全上需要具备的具体几个方面：

● 威胁建模。

● 测试。回归测试、压力测试、渗透测试、安全性测试。

● 安全编码。在软件开发完成后返回修复代码缺陷让人头大，必要的代码检测可以降低软件中涉及的风险及合规问题。

2. 培训

客户需求不断变化企业的技术也在不断更新，培训让组织人员提高安全编码水平、威胁和安全意识以及专业声誉。

实施DevOps模型一旦建立了基础，就需要大量的工作、时间和金钱来进行重构或改变，因此在一开始构建模型时需要进行适当的考虑来制定正确的路线。

DevOps模型的各方面可能会随着时间的推移而改变，有新技术、新员工、业务变化、客户需求以及社会和文化的转变。这些变化无法提前预见，因此需要根据情况进行必要的调整。

来源：

https://devops.com/5-tips-for-securing-devops-what-you-wish-you-knew-sooner/