İlk olarak SecOps kelimesini duyduğumda, bunu DevOps'un geliştiricileri ve operasyon ekibini birleştirdiği gibi güvenlik ve operasyon ekiplerini birleştirmeyi amaçlayan bir yönetim yaklaşımı olarak düşündüm.
Ancak güvenlik DevOps bulmacasının bir parçası değil mi?
DevOps zaten bileşen izleme, sürüm yönetimi, kıyaslama, kod inceleme, sürekli izleme gibi süreçleri içeriyor.
SecOps bir DevOps ekibine başka neler ekleyebilir veya belki başka bir vızıltı kelime olabilir mi?
Yanıtlar:
DevOps olabildiğince bir terimdir.
Normal bir operasyonel mühendis görevinin üstüne eklenen bir SecOps'un ana görevi, CVE yayın beslemelerini takip etme, düzeltmeyi işleme, genellikle güvenlik veya ağ yönetim ekibi tarafından geçmişte ele alınan şeyleri işleme yükünü üstlenmektir (Güvenlik duvarı kuralları, Web Uygulamaları Güvenlik Duvarı istisnaları)
DevOps kuruluşundaki bir Sysadmin'i uygulama kodunu okuyabilen ve bir parçası olabilen bir sysadmin olarak görürseniz, SecOps, sunucuların etrafındaki altyapının güvenlik kurallarının bir parçası olabilen bir sysadmin olacaktır.
Sorumluluk silolarını tutan bazı yapılarda (Satış, İşletme, Geliştirme, Operasyonlar, Güvenlik, İzleme), Güvenlik Mühendisi ve Operasyon Mühendisleri Geliştiriciler ve Operasyon Mühendisleri kadar ayrılırken, tam bir DevOps organizasyonunu kucaklamasa da, bir SecOps modeline geçmek iki ayrı ekibi silo temelli organizasyonda tarihsel olarak daha yakın ve daha az antagonist olarak birleştirmek için ilk adım. Bazı insanlar, mevcut işlerine operasyon veya güvenlik yönünü eklemek, artan kod becerilerinden daha rahattır.
Özetlemek gerekirse, SecOps'u, mevcut bir departmanda ayrı ekipler oldukları güvenlik / ağ / işletim sistemleri mühendisleri etrafında çok yetenekli bir ekip edinmeyi amaçlayan bir DevOps kuruluşuna doğru ilk adım olarak tanımlayacağım.
I do katılıyorum Tensibai en Cevap o SecOps içinde DevOps kendisi kadar bir vızıltı kelime olduğu kadar ve SecOps bir silo organizasyon ve tutarlı örgüt arasında bir adım.
Kapak tarafının da doğru olduğunu gözlemledim, yani DevOps Modeli kullanarak çalışan bir kuruluşunuz varsa, DevOps çalışma yöntemleri ve DevOps Uygulaması'nı takip eden bir kişi varsa, BT Güvenliği uygulamasını entegre etmek için bir SecOps rolünde birini atayabilirler modelin içine.
Oldukça yaygın olarak bu, üç disiplinin tümünü köprülemek için DevSecOps veya DevOpsSec olarak markalıdır.
Daha fazla okuma:
Yukarıdakilerden şu anda Jim Bird'ün kitabını okuyorum , DevSecCon'un organizatörü ile daha önceki bir rolde çalışmaktan zevk aldım ve geçen yıl Amsterdam'daki Velocity Seansına katılmanın ayrıcalığını yaşadım.