写点什么

如何让开发人员接受 DevSecOps

用户头像
啸天
关注
发布于: 2021 年 01 月 12 日
如何让开发人员接受DevSecOps

虽然 DevOps 文化为行业带来了创新,并改变了软件的开发方式,但可以说 DevOps 已经是一个过时的概念。

DevOps 存在两个问题,一个问题是使用以传统安全实践无法跟上的速度来推出新特性和应用程序。另一个问题是安全测试(例如,渗透测试和代码评审)通常在 DevOps 生命周期结束时进行。这一般都是为时已晚。

这就是 DevSecOps 的用武之地。DevSecOps 背后的主要思想是在软件生命周期开发过程中更早地融入安全。不幸的是,当速度决定一切时,开发人员通常不会优先考虑安全——那么如何让开发人员接受 DevSecOps?

不要只是“左移”


“左移”概念很流行但还不够深入,因为这意味着过程的开始没有考虑到安全性。为了积极地吸引开发人员,并为开发人员提供安全编码所需的技能和知识,业界需要采取“左移”的心态。从第一天起,每个开发人员都将安全性视为绝对优先事项。在也是 AWS 经常说的“Security Is Zero”。

开发人员是 DevSecOps 成功的关键,因此,开发人员的安全方法必须是一致的。从开发过程的开始,开发人员编写的每一行代码都需要考虑到安全性。然而,让开发人员改变他们的习惯并不容易。

开发人员的主要职责是构建功能性、创新性和快速交付的软件。不仅安全通常不被认为是编码级别的优先事项,而且安全甚至被许多人视为单调乏味,认为安全阻碍了创造性和原创功能。

那么,我们应该从哪里开始呢?

首先,我们需要了解开发人员的安全技能。一个测试开发人员技能的好方法是使用模拟场景与开发人员的团队一起运行实时安全编码“竞赛”。这不仅可以让开发人员更好地理解安全代码的概念,还可以让我们了解每个开发人员需要哪些更进一步的培训,以确保每个开发人员的学习都适合他们的实际需求。



跳过课堂培训

 

DevSecOps 应该被视为持续的方法和过程,而不是快速解决方案。DevSecOps 是一种文化,也是一套技术,采用 DevSecOps 这种文化需要熟练的人员、变革管理和各方的持续承诺。为员工提供正确的工具和培训是安全的开发人员崛起的关键一步,但我们不能期望传统的教学方法(如基于课堂的学习),这种方法不太可能改变开发人员对安全编码的心态。

安全编码方面的培训是必不可少的,但只有当这些培训是相关的,并且演示了如何将安全无缝地融入到开发人员的日常工作中时,培训才会有效。虽然比赛是一个很好的开始,但是安全编码的日常训练更加重要,会潜移默化地改变开发人员。

一个成功的方法是通过与日常任务集成的高度相关的游戏化学习平台。如果积极引导开发人员了解如何将编码和安全结合到同一个产品中,而不影响他们的工作,那么开发人员将更有可能继续使用最佳实践。对于那些希望在一个较小的规模的项目开始的开发人员,有免费的培训应用程序,这些应用程序教基本的安全编码技能,并且这些应用程序支持跨语言。

组织不仅需要为其开发人员提供必要的培训工具,还需要确保开发人员有足够的时间和激励措施,使安全培训成为优先事项。这可以通过将安全培训纳入团队和个人的工作描述和 KPI,或者创建鼓励进一步培训的奖励机制来实现。



给他们“钱景”

 

开发人员将安全集成到他们的工作中的好处不仅扩展到软件的成功交付,还扩展到开发人员自己。一开始编写安全代码似乎是一个障碍,但随着时间的推移会变得越来越容易,而且从长远来看会提高效率,因为要修复的 bug 会越来越少。

此外,始终如一地编写安全代码将确保开发人员产生更高的标准和更高的工作质量,进而将变得倍受重视和需求。

随着安全编码继续成为一项备受追捧的技能,安全技术的提高最终将为开发人员提供更具声望和利润的工作机会。

确保开发人员了解学习安全编码的好处不仅对公司,而且对他们自己也是一样,这是建立安全第一思维的关键。



结论

 

虽然 DevOps 在最初推出时是创新的,但现在业界已经超越了这个概念,DevSecOps 将继续存在。然而,要获得成功,安全需要从一开始就被所有相关人员视为一个优先事项,并从开发人员开始。

组织首先需要找出开发人员的安全技能的掌握情况,并提供定制的、游戏化的培训以保持开发人员的参与。需要在强调安全提升的同时,也可以为单个开发人员提供更多的好处。

最终,正确使用 DevSecOps 涉及到内置的安全性、开发人员和 AppSec 团队之间的协作,以及一种文化上的转变,即更深入地理解安全作为一个更广泛的社会问题的重要性。



原文:https://www.helpnetsecurity.com/2020/12/14/how-devsecops-developers/

发布于: 2021 年 01 月 12 日阅读数: 91
用户头像

啸天

关注

安全不是某个人的事情,而是所有人的事情。 2012.05.08 加入

CISSP,安全架构师,AWS认证安全专家,OWASP中国广东分会负责人

评论

发布
暂无评论
如何让开发人员接受DevSecOps