DevSecOps 已发展成为一个社区

阅读数:616 2018 年 7 月 9 日 08:55

6 月 28 日,继 4 月份旧金山的一个类似活动之后,第一届 DevSecOps Days 活动在伦敦拉开帷幕。活动组织人 John Willis 和 Mark Miller 在开场做了欢迎致辞,他们说,活动的目的是复制 DevOpsDays 模型,并促进全球社区举办自己的活动。

第一个演讲由 LARES 咨询公司对抗性研究和工程主管 Chris Roberts 呈献,他问我们是否可以击败攻击者,并自答说,尽管很多供应商表示可以,但证据告诉我们,我们不能。他的建议是更多地引入人类的干预,让人力资源和法律团队之间更多地关注安全,并“深入了解你的世界”。Roberts 解释说,在数字化的世界中,组织不再有边界,迫切需要回归基础并移除进入组织的简单方式。令他感到惊讶的是,二十六年过去了,我们居然还在谈论密码问题。

在 Roberts 的演讲之后,观众听取了每个活动赞助商的简要介绍: Electric Cloud Sonatype WhiteSource Gitlab

John Willis 随后在台上向观众讲述了他在 DevOps 企业峰会之后的前几天所推动的研讨会,参与者在研讨会中使用了由 Github、Jenkins、Electric Cloud 和 Sonatype 组成的工具包,并用它们来查找运行在 Tomcat 中的 Struts 漏洞(他强调说现在仍有大量组织面临这个 Struts 漏洞的威胁)。

John Willis:如果是朋友,就不会推荐在默认模式下运行 Jenkins。我们看到了可怕的死亡链——昨天目睹了一次攻击,攻击者通过攻击获取了一个 AWS 超级用户。Sonatype 将它标记为 IDE 中的开发问题。

接下来是 Nike 的 Courtney Kissler,他建议不要只是在方法论上找问题,而是要选出合适的领导者,并通过透明度建立信誉和信任。她发现,使用数据推动决策和行动有助于重新调整情绪,而且很重要的一点是,要挑战现状并坚持不懈。因为遭到过很多质疑,Kissler 后来发现词汇的使用非常重要,需要从小处着手。

Courtney Kissler:我们不得不在口头表达方面做出很多调整,比如说使用“快速学习”代替“失败”,使用“弹性”代替“混乱”。我们学会了不在意这些词汇,更多地关注业务产出。我们提升了工作的可见度,我们发现了很多人们之前意识不到的工作进展。人们也意识不到他们的周期时间是多少,他们认为这是十天,但其实是八十四天。

Kissler 将业务的战略调整看成是一个巨大的加速器,并将工程能力看成是头号限制因素。她分享了他们是如何实现“转身”的:团队之前首先会关注功能,后来改成首先考虑安全性和合规性。结果是,在二百五十天内没有出现热修复。Kissler 建议:“尊重并挖掘现实”。

随后,Mark Miller 与 Chris Roberts 和 John Willis 一起举行了一次非正式的小组讨论,他们讨论了行业每年产生 870 亿次开源下载请求的影响,随着越来越多的企业采用开源技术以及实施开源策略,这个数字只会增加。Miller 表示,11.1%的 Java 下载组件包含已知的漏洞,其中一位观众对稳定性概念进行了一个类比:“你是在玩 Jenga 还是在骑自行车?”。Chris Roberts 回应道:“稍安勿躁,我们需要的是沟通”。每年,已知漏洞的下载量翻一番,被报告的泄露事件也成倍增加。

接下来是来自 EMEA 的技术社区经理 Mandi Walls,他谈到了组织将自己视为技术公司的重要性,并引用阿拉斯加航空公司为了成为一个“有翅膀的技术公司”而做出的努力,他们的做法在这个领域是值得称道的。Walls 提醒观众注意最近的 Honda WannaCry ,然后演示了 Chef Inspec 技术如何帮助识别和修复此类安全问题。

Walls 之后是 Aubrey Stearn,他之前是阿卡迪亚、Travelodge 和必胜客的 DevOps 领导者和教练。Stearn 声称,DevOps 的节奏已经建立起来了,并且开发往往比 IT 运营(特别是安全团队)动作快得多。她解释了在软件供应链环境中考虑攻击向量的重要性。供应链从本地机器开始,流经构件仓库和公共容器注册表,并达到端点。Stearn 强调开发人员必须执行安全测试,在推送之前把它们扼杀在襁褓之中。她推荐观众们使用诸如 Detectify 之类的工具。

演讲结束后,Stearn 在社交媒体上分享了演讲幻灯片,其中最受欢迎的一句话是:“如果你让我的生活难过,我会偷工减料并做一些愚蠢的事!”。Strearn 表示,组织无法在没有信任的情况下进行转型,DevOps 不会神奇地解决问题。她谈到了“Scrum-but”,并建议团队可以停止糟糕的 Scrum 实践,并改用 Kanban。在开发完成后,开发团队将构件交给测试团队和安全团队,然后反过来收到五个构件——她称之为“神奇的繁殖机器”。总之,Stearn 表示,开发要做测试,如果组织没有在开发中做测试,他们等于在透支自己的信誉(并产生技术债务)。

按照 DevOpsDays 的惯例,接下来的几个小时是开放讨论,向观众介绍了这个概念。开放讨论大致分为两个阵营:一个是围绕文化和组织的挑战及解决方案,一个是围绕 DevSecOps 技术。

当天的最后一位发言人是 AWS 的企业战略官 Mark Schwartz,他分享了他之前担任美国公民和移民服务 CIO 的一些经历。他带来了一名前国家安全局员工作为渗透测试员,这位员工发现了他们的数字化签证系统存在一些缺陷。他们还让一些审计人员进行了一些成功的社会工程攻击,帮助他们了解需要在哪些方面优先考虑收紧安全政策和程序——特别是人们的密码使用习惯。Schwartz 说:“我们要让做正确的事情变容易,做错误的事变困难”。他们使用 TFA SSO 以及进入建筑物需要安检、使用计算机需要 PIN 来解决密码问题——因此,他说,自动化解决了流程问题。

像 Kissler 一样,Schwartz 也谈到了文化变革,解释了传统上企业更希望 IT 处理功能性问题,他们对安全事务不感兴趣。他说这是一个奇怪的问题,因为一个关键的客户需求是不要让他们的数据受到损害。Schwartz 强调,我们有必要建立一种文化,让我们代表客户和利益相关者关注安全,并将 Rugged 软件宣言作为一种工具,用于指导软件的开发,并时刻提防潜在的攻击。他总结说,很多安全修复程序是免费的,并且不需要额外的投资,只需要注意自己的工作方式,例如,不要将密钥留在源码控制系统中。

DevSecOps Days 伦敦站由 Mark Cluet 组织。下一届 DevSecOps Days 将于 7 月 24 日在新加坡举行。

查看英文原文 DevSecOps Grows Up and Finds Itself a Community

收藏

评论

微博

用户头像
发表评论

注册/登录 InfoQ 发表评论