【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

DevSecOps 已发展成为一个社区

  • 2018-07-09
  • 本文字数:2450 字

    阅读完需:约 8 分钟

6 月 28 日,继 4 月份旧金山的一个类似活动之后,第一届 DevSecOps Days 活动在伦敦拉开帷幕。活动组织人 John Willis 和 Mark Miller 在开场做了欢迎致辞,他们说,活动的目的是复制 DevOpsDays 模型,并促进全球社区举办自己的活动。

第一个演讲由 LARES 咨询公司对抗性研究和工程主管 Chris Roberts 呈献,他问我们是否可以击败攻击者,并自答说,尽管很多供应商表示可以,但证据告诉我们,我们不能。他的建议是更多地引入人类的干预,让人力资源和法律团队之间更多地关注安全,并“深入了解你的世界”。Roberts 解释说,在数字化的世界中,组织不再有边界,迫切需要回归基础并移除进入组织的简单方式。令他感到惊讶的是,二十六年过去了,我们居然还在谈论密码问题。

在 Roberts 的演讲之后,观众听取了每个活动赞助商的简要介绍: Electric Cloud Sonatype WhiteSource Gitlab

John Willis 随后在台上向观众讲述了他在 DevOps 企业峰会之后的前几天所推动的研讨会,参与者在研讨会中使用了由 Github、Jenkins、Electric Cloud 和 Sonatype 组成的工具包,并用它们来查找运行在 Tomcat 中的 Struts 漏洞(他强调说现在仍有大量组织面临这个 Struts 漏洞的威胁)。

John Willis:如果是朋友,就不会推荐在默认模式下运行 Jenkins。我们看到了可怕的死亡链——昨天目睹了一次攻击,攻击者通过攻击获取了一个 AWS 超级用户。Sonatype 将它标记为 IDE 中的开发问题。

接下来是 Nike 的 Courtney Kissler,他建议不要只是在方法论上找问题,而是要选出合适的领导者,并通过透明度建立信誉和信任。她发现,使用数据推动决策和行动有助于重新调整情绪,而且很重要的一点是,要挑战现状并坚持不懈。因为遭到过很多质疑,Kissler 后来发现词汇的使用非常重要,需要从小处着手。

Courtney Kissler:我们不得不在口头表达方面做出很多调整,比如说使用“快速学习”代替“失败”,使用“弹性”代替“混乱”。我们学会了不在意这些词汇,更多地关注业务产出。我们提升了工作的可见度,我们发现了很多人们之前意识不到的工作进展。人们也意识不到他们的周期时间是多少,他们认为这是十天,但其实是八十四天。

Kissler 将业务的战略调整看成是一个巨大的加速器,并将工程能力看成是头号限制因素。她分享了他们是如何实现“转身”的:团队之前首先会关注功能,后来改成首先考虑安全性和合规性。结果是,在二百五十天内没有出现热修复。Kissler 建议:“尊重并挖掘现实”。

随后,Mark Miller 与 Chris Roberts 和 John Willis 一起举行了一次非正式的小组讨论,他们讨论了行业每年产生 870 亿次开源下载请求的影响,随着越来越多的企业采用开源技术以及实施开源策略,这个数字只会增加。Miller 表示,11.1%的 Java 下载组件包含已知的漏洞,其中一位观众对稳定性概念进行了一个类比:“你是在玩 Jenga 还是在骑自行车?”。Chris Roberts 回应道:“稍安勿躁,我们需要的是沟通”。每年,已知漏洞的下载量翻一番,被报告的泄露事件也成倍增加。

接下来是来自 EMEA 的技术社区经理 Mandi Walls,他谈到了组织将自己视为技术公司的重要性,并引用阿拉斯加航空公司为了成为一个“有翅膀的技术公司”而做出的努力,他们的做法在这个领域是值得称道的。Walls 提醒观众注意最近的 Honda WannaCry ,然后演示了 Chef Inspec 技术如何帮助识别和修复此类安全问题。

Walls 之后是 Aubrey Stearn,他之前是阿卡迪亚、Travelodge 和必胜客的 DevOps 领导者和教练。Stearn 声称,DevOps 的节奏已经建立起来了,并且开发往往比 IT 运营(特别是安全团队)动作快得多。她解释了在软件供应链环境中考虑攻击向量的重要性。供应链从本地机器开始,流经构件仓库和公共容器注册表,并达到端点。Stearn 强调开发人员必须执行安全测试,在推送之前把它们扼杀在襁褓之中。她推荐观众们使用诸如 Detectify 之类的工具。

演讲结束后,Stearn 在社交媒体上分享了演讲幻灯片,其中最受欢迎的一句话是:“如果你让我的生活难过,我会偷工减料并做一些愚蠢的事!”。Strearn 表示,组织无法在没有信任的情况下进行转型,DevOps 不会神奇地解决问题。她谈到了“Scrum-but”,并建议团队可以停止糟糕的 Scrum 实践,并改用 Kanban。在开发完成后,开发团队将构件交给测试团队和安全团队,然后反过来收到五个构件——她称之为“神奇的繁殖机器”。总之,Stearn 表示,开发要做测试,如果组织没有在开发中做测试,他们等于在透支自己的信誉(并产生技术债务)。

按照 DevOpsDays 的惯例,接下来的几个小时是开放讨论,向观众介绍了这个概念。开放讨论大致分为两个阵营:一个是围绕文化和组织的挑战及解决方案,一个是围绕 DevSecOps 技术。

当天的最后一位发言人是 AWS 的企业战略官 Mark Schwartz,他分享了他之前担任美国公民和移民服务 CIO 的一些经历。他带来了一名前国家安全局员工作为渗透测试员,这位员工发现了他们的数字化签证系统存在一些缺陷。他们还让一些审计人员进行了一些成功的社会工程攻击,帮助他们了解需要在哪些方面优先考虑收紧安全政策和程序——特别是人们的密码使用习惯。Schwartz 说:“我们要让做正确的事情变容易,做错误的事变困难”。他们使用 TFA SSO 以及进入建筑物需要安检、使用计算机需要 PIN 来解决密码问题——因此,他说,自动化解决了流程问题。

像 Kissler 一样,Schwartz 也谈到了文化变革,解释了传统上企业更希望 IT 处理功能性问题,他们对安全事务不感兴趣。他说这是一个奇怪的问题,因为一个关键的客户需求是不要让他们的数据受到损害。Schwartz 强调,我们有必要建立一种文化,让我们代表客户和利益相关者关注安全,并将 Rugged 软件宣言作为一种工具,用于指导软件的开发,并时刻提防潜在的攻击。他总结说,很多安全修复程序是免费的,并且不需要额外的投资,只需要注意自己的工作方式,例如,不要将密钥留在源码控制系统中。

DevSecOps Days 伦敦站由 Mark Cluet 组织。下一届 DevSecOps Days 将于 7 月 24 日在新加坡举行。

查看英文原文 DevSecOps Grows Up and Finds Itself a Community

2018-07-09 08:551119
用户头像

发布了 731 篇内容, 共 432.3 次阅读, 收获喜欢 1997 次。

关注

评论

发布
暂无评论
发现更多内容

千古无同局?围棋在线教育还有这样的打开方式!

亚马逊云科技 (Amazon Web Services)

百度AICA迎来毕业季,55位新晋“首席AI架构师”推进产业智能化

百度大脑

人工智能 百度 架构师

DNS劫持该如何处理

网络安全学海

程序员 运维 网络安全 信息安全 DNS

【视频】51CTO专访博睿数据COO吴静涛,解读IT运维“新范式”

博睿数据

【源码篇】Handler那些事(万字图文)

小呆呆666

Java android 源码 Android Studio Android进阶

【源码篇】ThreadLocal的奇思妙想(万字图文)

小呆呆666

Java 源码 架构 源码分析 设计

JavaScript中的Set数据操作:交集、差集、交集、对称差集

devpoint

set JavaScrip 6月日更

快手封停多个内容侵权账号:如何严打短视频内容侵权行为

石头IT视角

一妹子揭露美团面试中一些不愉快的事情(Java岗)

Java架构师迁哥

解放生产力,自动化生成Vue组件文档

vivo互联网技术

Vue 自动化 大前端 组件

前端 JavaScript 中 JSON.stringify() 的基本用法

编程三昧

JavaScript 大前端

高性能计算与人工智能何处去?英特尔剑指XPU

E科讯

《原则》(二十九)

Changing Lin

如何设计恒流源输出电路?

不脱发的程序猿

嵌入式 电路设计 硬件研发 恒流源输出电路

Dubbo 3.0.0 来了!还学得动吗?

青年IT男

dubbo

如何优雅的设计DWS层?

云祁

大数据 数据仓库 维度建模

网络攻防学习笔记 Day59

穿过生命散发芬芳

网络攻防 6月日更

Flutter GetX使用---简洁的魅力!

小呆呆666

flutter android 大前端 iOS Developer

为你的身份证“加盾”,鉴伪更精准,传输更安全

百度大脑

人工智能 数据安全 身份证

北鲲云超算平台如何加速生命科学研究

北鲲云

5分钟速读之Rust权威指南(三十二)互斥体

wzx

rust

混合推荐系统介绍(二十二)

数据与智能

推荐系统 计算

为什么很多时候,我们会感觉企业越大,效率越低呢?

石云升

职场经验 管理经验 6月日更

密码合规测评新服务:“微咨询”正式发布

腾讯安全云鼎实验室

密码合规 微咨询

为什么要学习JVM,仅为面试?又该如何学习?

Java架构师迁哥

科技前沿:一张图数字孪生北京大兴国际机

一只数据鲸鱼

数据可视化 智慧城市 指挥交通 智慧航空

Flutter 改善套娃地狱问题(仿喜马拉雅PC页面举例)

小呆呆666

flutter android 大前端 iOS Developer

新常态下的CMDB系统规划与落地

云智慧AIOps社区

CMDB 智能运维

eKuiper 与百度智能边缘框架 BIE 集成方案

EMQ映云科技

边缘计算 边缘技术 边缘流式数据 #百度# 智能IoT边缘服务

国足晋级12强!看人工智能如何更好地预测世界级赛事!

亚马逊云科技 (Amazon Web Services)

一种更优雅的Flutter Dialog解决方案

小呆呆666

flutter android 大前端 iOS Developer

DevSecOps已发展成为一个社区_DevOps & 平台工程_Helen Beal_InfoQ精选文章