AI实践哪家强?来 AICon, 解锁技术前沿,探寻产业新机! 了解详情
写点什么

DevSecOps 已发展成为一个社区

  • 2018-07-09
  • 本文字数:2450 字

    阅读完需:约 8 分钟

6 月 28 日,继 4 月份旧金山的一个类似活动之后,第一届 DevSecOps Days 活动在伦敦拉开帷幕。活动组织人 John Willis 和 Mark Miller 在开场做了欢迎致辞,他们说,活动的目的是复制 DevOpsDays 模型,并促进全球社区举办自己的活动。

第一个演讲由 LARES 咨询公司对抗性研究和工程主管 Chris Roberts 呈献,他问我们是否可以击败攻击者,并自答说,尽管很多供应商表示可以,但证据告诉我们,我们不能。他的建议是更多地引入人类的干预,让人力资源和法律团队之间更多地关注安全,并“深入了解你的世界”。Roberts 解释说,在数字化的世界中,组织不再有边界,迫切需要回归基础并移除进入组织的简单方式。令他感到惊讶的是,二十六年过去了,我们居然还在谈论密码问题。

在 Roberts 的演讲之后,观众听取了每个活动赞助商的简要介绍: Electric Cloud Sonatype WhiteSource Gitlab

John Willis 随后在台上向观众讲述了他在 DevOps 企业峰会之后的前几天所推动的研讨会,参与者在研讨会中使用了由 Github、Jenkins、Electric Cloud 和 Sonatype 组成的工具包,并用它们来查找运行在 Tomcat 中的 Struts 漏洞(他强调说现在仍有大量组织面临这个 Struts 漏洞的威胁)。

John Willis:如果是朋友,就不会推荐在默认模式下运行 Jenkins。我们看到了可怕的死亡链——昨天目睹了一次攻击,攻击者通过攻击获取了一个 AWS 超级用户。Sonatype 将它标记为 IDE 中的开发问题。

接下来是 Nike 的 Courtney Kissler,他建议不要只是在方法论上找问题,而是要选出合适的领导者,并通过透明度建立信誉和信任。她发现,使用数据推动决策和行动有助于重新调整情绪,而且很重要的一点是,要挑战现状并坚持不懈。因为遭到过很多质疑,Kissler 后来发现词汇的使用非常重要,需要从小处着手。

Courtney Kissler:我们不得不在口头表达方面做出很多调整,比如说使用“快速学习”代替“失败”,使用“弹性”代替“混乱”。我们学会了不在意这些词汇,更多地关注业务产出。我们提升了工作的可见度,我们发现了很多人们之前意识不到的工作进展。人们也意识不到他们的周期时间是多少,他们认为这是十天,但其实是八十四天。

Kissler 将业务的战略调整看成是一个巨大的加速器,并将工程能力看成是头号限制因素。她分享了他们是如何实现“转身”的:团队之前首先会关注功能,后来改成首先考虑安全性和合规性。结果是,在二百五十天内没有出现热修复。Kissler 建议:“尊重并挖掘现实”。

随后,Mark Miller 与 Chris Roberts 和 John Willis 一起举行了一次非正式的小组讨论,他们讨论了行业每年产生 870 亿次开源下载请求的影响,随着越来越多的企业采用开源技术以及实施开源策略,这个数字只会增加。Miller 表示,11.1%的 Java 下载组件包含已知的漏洞,其中一位观众对稳定性概念进行了一个类比:“你是在玩 Jenga 还是在骑自行车?”。Chris Roberts 回应道:“稍安勿躁,我们需要的是沟通”。每年,已知漏洞的下载量翻一番,被报告的泄露事件也成倍增加。

接下来是来自 EMEA 的技术社区经理 Mandi Walls,他谈到了组织将自己视为技术公司的重要性,并引用阿拉斯加航空公司为了成为一个“有翅膀的技术公司”而做出的努力,他们的做法在这个领域是值得称道的。Walls 提醒观众注意最近的 Honda WannaCry ,然后演示了 Chef Inspec 技术如何帮助识别和修复此类安全问题。

Walls 之后是 Aubrey Stearn,他之前是阿卡迪亚、Travelodge 和必胜客的 DevOps 领导者和教练。Stearn 声称,DevOps 的节奏已经建立起来了,并且开发往往比 IT 运营(特别是安全团队)动作快得多。她解释了在软件供应链环境中考虑攻击向量的重要性。供应链从本地机器开始,流经构件仓库和公共容器注册表,并达到端点。Stearn 强调开发人员必须执行安全测试,在推送之前把它们扼杀在襁褓之中。她推荐观众们使用诸如 Detectify 之类的工具。

演讲结束后,Stearn 在社交媒体上分享了演讲幻灯片,其中最受欢迎的一句话是:“如果你让我的生活难过,我会偷工减料并做一些愚蠢的事!”。Strearn 表示,组织无法在没有信任的情况下进行转型,DevOps 不会神奇地解决问题。她谈到了“Scrum-but”,并建议团队可以停止糟糕的 Scrum 实践,并改用 Kanban。在开发完成后,开发团队将构件交给测试团队和安全团队,然后反过来收到五个构件——她称之为“神奇的繁殖机器”。总之,Stearn 表示,开发要做测试,如果组织没有在开发中做测试,他们等于在透支自己的信誉(并产生技术债务)。

按照 DevOpsDays 的惯例,接下来的几个小时是开放讨论,向观众介绍了这个概念。开放讨论大致分为两个阵营:一个是围绕文化和组织的挑战及解决方案,一个是围绕 DevSecOps 技术。

当天的最后一位发言人是 AWS 的企业战略官 Mark Schwartz,他分享了他之前担任美国公民和移民服务 CIO 的一些经历。他带来了一名前国家安全局员工作为渗透测试员,这位员工发现了他们的数字化签证系统存在一些缺陷。他们还让一些审计人员进行了一些成功的社会工程攻击,帮助他们了解需要在哪些方面优先考虑收紧安全政策和程序——特别是人们的密码使用习惯。Schwartz 说:“我们要让做正确的事情变容易,做错误的事变困难”。他们使用 TFA SSO 以及进入建筑物需要安检、使用计算机需要 PIN 来解决密码问题——因此,他说,自动化解决了流程问题。

像 Kissler 一样,Schwartz 也谈到了文化变革,解释了传统上企业更希望 IT 处理功能性问题,他们对安全事务不感兴趣。他说这是一个奇怪的问题,因为一个关键的客户需求是不要让他们的数据受到损害。Schwartz 强调,我们有必要建立一种文化,让我们代表客户和利益相关者关注安全,并将 Rugged 软件宣言作为一种工具,用于指导软件的开发,并时刻提防潜在的攻击。他总结说,很多安全修复程序是免费的,并且不需要额外的投资,只需要注意自己的工作方式,例如,不要将密钥留在源码控制系统中。

DevSecOps Days 伦敦站由 Mark Cluet 组织。下一届 DevSecOps Days 将于 7 月 24 日在新加坡举行。

查看英文原文 DevSecOps Grows Up and Finds Itself a Community

2018-07-09 08:551508
用户头像

发布了 731 篇内容, 共 468.8 次阅读, 收获喜欢 2007 次。

关注

评论

发布
暂无评论
发现更多内容

大模型训练中CPU高负载与GPU低使用率的优化策略

百度开发者中心

gpu 大模型

云电脑和一体机有什么区别?

青椒云云电脑

云电脑 桌面云一体机 云桌面一体机

如何构建适合工业设计企业的云端图形工作站?

青椒云云电脑

图形工作站

我还是无法忘记那个午夜,当oncall的告警响起

Java 工程师蔡姬

#on-call 21 天技术人写作行动营 #线上问题 #性能问题

从0到100TB,MatrixOne助您轻松应对

MatrixOrigin

分布式数据库 云原生数据库 MatrixOrigin MatrixOne HTAP数据库

提升淘宝商品详情搜索效率,看这篇API接口详解

联讯数据

Vue3.0在软件开发中的能力展示

互联网工科生

Vue DOM vue3.0

每日一题:LeetCode-151. 反转字符串中的单词

Geek_4z9ami

Go 面试 算法 LeetCode 字符串

如何教会小白使用淘宝API接口获取商品数据

Noah

教育行业为什么管理特权账号?

尚思卓越

运维 网络安全

学校建设云教室方案应该考虑哪些?

青椒云云电脑

云教室 云教室解决方案

大模型训练中错误数据集的影响及应对策略

百度开发者中心

大模型 人工智能’

新一代私有云部署四大优势和案例解读

青椒云云电脑

云电脑平台

如何给网页和代码做HTML加密?

Mint Blockchain,一个聚焦在 NFT 领域的 L2 网络

NFT Research

NFT\ NFTScan Layer 2

【写作训练营打卡|04】

当创建statefulset资源后,k8s组件如何协作

华为云开发者联盟

云原生 k8s 华为云 华为云开发者联盟

MatrixOne完成与麒麟软件服务器操作系统的兼容互认

MatrixOrigin

分布式数据库 云原生数据库 MatrixOrigin MatrixOne HTAP数据库

如何进行代码混淆?方法与常见工具介绍

深入探讨 Swagger Array:开发者的步步为赢指南

Liam

后端 开发工具 swagger API 文档 web 开发

国内外免费的SCADA软件工具有哪些?

2D3D前端可视化开发

物联网 组态软件 SCADA软件 组态工具 HMI系统

王炸升级!PartyRock 10分钟构建 AI 应用

伤感汤姆布利柏

人工智能

23年总结-对于开发者来说AI带来的影响和AI未来的趋势预测

肥晨

AI

OPPO ColorOS全球创客大赛总决赛在即 加速潘塔纳尔生态成型

极客天地

高效挖掘数据价值,天翼云分析型数据库TeleDB For AnalyticDB申请出战!

极客天地

公司敏感数据被上传Github,吓得我赶紧改提交记录

程序员小富

git

一个 41 岁老程序员的 2023 年总结 - 利用 AI 延长自己的编程寿命

汪子熙

人工智能 AI 总结思考 ChatGPT 2023年

大模型训练引领AI新时代

百度开发者中心

人工智能 大模型 LLM

DAPP智能合约质押挖矿系统开发丨详情开发

l8l259l3365

DevSecOps已发展成为一个社区_DevOps & 平台工程_Helen Beal_InfoQ精选文章