超级会员免费看
深度解析:DevSecOps与DevOps的融合之道
在当今数字化的时代,软件开发和运维的安全性至关重要。将安全融入DevOps实践,即DevSecOps,已成为企业保障软件安全和高效交付的关键。本文将深入探讨DevSecOps与DevOps融合的相关内容,包括治理定义、威胁建模、工具集成与自动化以及监控实施等方面。
1. 安全框架概述
企业的IT环境需要遵循各种安全框架来设置安全控制。这些控制适用于系统、应用程序以及DevOps实践,从开发人员从代码库拉取代码开始,到构建、部署和生产的整个过程,IT环境(包括CI/CD管道)都需要遵守安全控制。常见的安全框架有NIST、CIS和COBIT等,它们被企业广泛接受。此外,MITRE ATT&CK框架从不同角度出发,列出了黑客可能使用或已使用的攻击策略和技术,可用于识别可能的漏洞。
2. DevSecOps治理定义
在初步规划好DevSecOps架构、确定流程并使其与企业业务目标对齐后,接下来需要对其进行管理,这就是治理的范畴。以The Open Group的IT4IT框架为最佳实践,在IT4IT中,治理、风险和合规(GRC)是四个价值流的支持活动,它贯穿于每个价值流之中。
GRC的核心是通过应用商定和认可的行业业务政策,在管理不确定性的同时实现企业目标。企业需要遵守各种政策,如国际贸易法规、国家法律和行业特定标准,包括安全和数据隐私法规。GRC能力模型包含以下四个要素:
- 学习(Learn) :企业的目标必须明确界定,同时要结合企业的运营环境。例如,医院的目标是治病救人,但其运营环境还涉及与制药公司和医疗保险公司的关系。目标和环境共
订阅专栏 解锁全文
扫一扫
32
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
