SecOps คืออะไร

20

ครั้งแรกเมื่อฉันได้ยินคำว่า SecOps ฉันคิดว่ามันเป็นวิธีการจัดการที่มีจุดมุ่งหมายเพื่อเชื่อมต่อทีมรักษาความปลอดภัยและการดำเนินงานในลักษณะเดียวกับที่ DevOps รวบรวมนักพัฒนาและทีมปฏิบัติการไว้ด้วยกัน

แต่ความปลอดภัยไม่ใช่แค่ส่วนหนึ่งของปริศนา DevOps ใช่ไหม
DevOps มีกระบวนการต่างๆเช่นการตรวจสอบส่วนประกอบการจัดการเวอร์ชันการเปรียบเทียบการตรวจสอบโค้ดการตรวจสอบอย่างต่อเนื่อง ..

SecOps อื่น ๆ สามารถเพิ่มอะไรให้กับทีม DevOps หรืออาจเป็นอีกคำหนึ่งที่ฉวัดเฉวียน

terminology  culture  security 
พายุ
แหล่งที่มา

คำตอบ:

16

ฉันเห็นด้วยว่านี่เป็นคำศัพท์ที่มากเท่าที่ DevOps สามารถทำได้

ภารกิจหลักของ SecOps ที่เพิ่มเข้ามาด้านบนของงานวิศวกรปฏิบัติงานตามปกติคือการรับภาระในการติดตามฟีดสิ่งพิมพ์ CVE, การจัดการการแก้ไข, การจัดการสิ่งต่าง ๆ ในอดีตที่จัดการโดยทีมรักษาความปลอดภัยหรือเครือข่าย (กฎของไฟร์วอลล์

หากคุณเห็น Sysadmin ในองค์กร DevOps ในฐานะที่เป็นระบบดูแลระบบที่สามารถอ่านและเป็นส่วนหนึ่งของรหัสแอปพลิเคชัน SecOps จะเป็นระบบดูแลระบบที่สามารถเป็นส่วนหนึ่งของกฎความปลอดภัยของโครงสร้างพื้นฐานรอบ ๆ เซิร์ฟเวอร์เอง

ในโครงสร้างบางอย่างทำให้ไซโลรับผิดชอบ (การขาย, ธุรกิจ, Dev, Ops, ความปลอดภัย, การตรวจสอบ), วิศวกรความปลอดภัยและวิศวกรการดำเนินการจะถูกแยกออกเป็นผู้พัฒนาและวิศวกรการดำเนินงานในขณะที่ไม่ได้รวบรวมองค์กร DevOps เต็มรูปแบบ ขั้นตอนแรกในการรวมตัวเป็นทีมสองทีมที่แยกจากกันอย่างใกล้ชิดในอดีตและศัตรูน้อยลงในองค์กรตามไซโล บางคนมีความสะดวกสบายที่จะเพิ่มการดำเนินการหรือด้านความปลอดภัยในงานปัจจุบันของพวกเขามากกว่าการพัฒนาทักษะรหัส

เพื่อสรุปฉันจะกำหนด SecOps เป็นขั้นตอนแรกสู่องค์กร DevOps โดยมีเป้าหมายที่จะสร้างทีมที่มีทักษะหลายด้านเกี่ยวกับวิศวกรระบบรักษาความปลอดภัย / เครือข่าย / ระบบปฏิบัติการที่พวกเขาแยกทีมในแผนกที่มีอยู่

Tensibai
แหล่งที่มา
8

ฉันเห็นด้วยกับคำตอบของ Tensibaiใน SecOps นั้นมากพอ ๆ กับคำว่า DevOps และ SecOps นั้นเป็นก้าวที่สำคัญระหว่างองค์กรที่มีความเงียบและองค์กรที่เหนียวแน่น

ฉันได้สังเกตด้านพลิกที่จะเป็นจริงนั่นคือถ้าคุณมีองค์กรที่ทำงานโดยใช้แบบจำลอง DevOps ด้วยวิธีการทำงานของ DevOps และการปฏิบัติตาม DevOps พวกเขาอาจแต่งตั้งใครสักคนในบทบาท SecOps เพื่อบูรณาการการปฏิบัติด้านความปลอดภัยด้านไอทีเข้าสู่โมเดล

โดยทั่วไปแล้วสิ่งนี้ถูกตราหน้าว่าเป็น DevSecOps หรือ DevOpsSec เพื่อเชื่อมโยงทั้งสามสาขา

อ่านเพิ่มเติม:

จากที่กล่าวมาข้างต้นฉันกำลังอ่านหนังสือของจิมเบิร์ดมีความยินดีที่ได้ร่วมงานกับผู้จัดงาน DevSecCon ในบทบาทก่อนหน้านี้

Richard Slater
แหล่งที่มา
ฉันเพิ่งคุ้นเคยกับ Alan Shimel ( ashimmy.com ) ในฐานะแขกในพอดคาสต์ DevOps Cafe อีกหนึ่งแหล่งข้อมูลที่ดี
Stuart Ainsworth
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.