DevOps专业人员如何成为安全冠军［DevOps］

打破“竖井”，成为安全方面的冠军，将有助于个人、职业和组织。

A lock on the side of a building

安全性是DevOps中被误解的元素。一些人认为它超出了DevOps的范围，而另一些人认为非常重要(并且被忽视了)，因此建议迁移到DevSecOps。不管对安全的看法如何，很明显，安全影响着每一个人。

每年，有关黑客攻击的统计数据都越来越令人担忧。例如，每39秒就有一次黑客攻击，这可能导致为公司编写的记录、身份和专有项目被盗。安全团队可能需要几个月(甚至永远)的时间来发现黑客背后的身份、内容、地点或时间。

对于这些可怕的问题，运营专业人士该怎么做呢?我认为现在是成为解决方案的一部分，成为安全卫士的时候了。

筒仓和地盘之争

在与本地IT安全(ITSEC)团队并肩工作的多年中，我注意到了很多事情。一个重要的问题是DevOps和安全之间的紧张关系非常普遍。这种紧张关系几乎总是源于安全团队保护漏洞的努力(例如，通过设置规则或禁用某些东西)，这些漏洞会打断DevOps的工作并妨碍快速部署应用程序的能力。

你见过，我也见过，在这个领域遇到的每个人都至少有一个关于它的故事。一小段积怨变成了一座需要时间去修复的烧毁的桥，或者这些团队开始了一场小规模的地盘之争，结果导致了不太可能实现DevOps。

获得新的视角

为了打破这些竖井并结束地盘之争，我与每个安全团队中的至少一个人进行了交谈，以了解组织中日常安全操作的细节。开始这样做是出于普遍的好奇心，但一直坚持下去，因为总是给我一个有价值的新视角。例如，了解到对于每一个由于安全性失败而停止的部署，ITSEC团队都在狂热地尝试修补它所看到的其他10个问题。他们的鲁莽和快速反应是由于有限的时间，必须解决之前，它成为一个大问题。

考虑到发现、分析和撤销所做的事情需要大量的知识。或者找出DevOps团队正在做什么——没有背景信息——然后复制并测试它。他们通常都是用人手严重不足的安全团队来做这一切。

这是安全团队的日常生活，而DevOps团队没有看到它。ITSEC的日常工作可能意味着加班和加班，以确保公司、团队和团队正在生产的专有工作是安全的。

成为安全冠军的方法

这就是成为自己的安全冠军可以帮助的地方。这意味着——对于所做的每一件事——必须认真仔细地考虑人们登录它的所有方式，以及可以从中获取什么。

帮助安全团队帮助你。将工具引入到管道中，把你会了解工作的内容与他们会知道的内容集成在一起。从小事做起，比如阅读常见的漏洞和暴露(cve)，并向CI/CD管道添加扫描功能。对于构建的所有内容，都有一个开放源码扫描工具，并且添加小型开放源码工具(如下面的工具)可以在长期运行中发挥更大的作用。

集装箱扫描工具:

-Anchore引擎

-Clair

-Vuls

-OpenSCAP

代码扫描工具:

-OWASP SonarQube

-发现安全漏洞

-谷歌黑客Diggity项目

Kubernetes安全工具:

Calico项目

Kube-hunter

NeuVector

保持DevOps hat

如果从事与开发相关的工作，学习新技术以及如何用它创造新事物是工作的一部分。安全性也不例外。下面列出的一些方法，可以在保持DevOps功能的同时，在安全方面保持最新的状态。

每周读一篇关于所从事的工作中与安全相关的文章。

每周访问CVE网站，看看有什么新消息。

试试黑客马拉松吧。有些公司一个月做一次;如果网站还没有初学者Hack 1.0，请访问这个网站，你会想了解更多。

试着每年至少和安全团队成员参加一次安全会议，从他们的角度看问题。

永远做一个冠军

有几个理由成为自己的安全冠军。首先，也是最重要的是扩展知识，推进事业。第二个原因是帮助其他团队，建立新的关系，打破损害组织的竖井。在组织中建立友谊有很多好处，包括树立一个连接团队和鼓励人们一起工作的好榜样。还将促进整个组织内的知识共享，并为每个人提供新的安全保障和更大的内部合作。

总的来说，成为安全冠军会使你在整个组织中永远成为冠军。