Cloud Security Alliance (CSA) определил категории, играющие критическую роль в DevSecOps
Cloud Security Alliance (CSA) определил категории, играющие критическую роль в DevSecOps
Эксперты рабочей группы по вопросам DevSecOps некоммерческой организации Cloud Security Alliance (CSA) определили шесть категорий, играющих критическую роль в DevSecOps.
DevSecOps – важное направление в DevOps (наборе практик, нацеленных на взаимодействие разработчиков ПО с экспертами по безопасности), подразумевающее обеспечение безопасности на всех этапах разработки приложений. Как показывает практика, организации, внедряющие безопасность в жизненный цикл ПО, демонстрируют лучшие результаты в обеспечении ИБ. Для того чтобы стимулировать внедрение DevSecOps, CSA выделила шесть категорий, на которые следует обратить внимание.
Коллективная ответственность: Каждый сотрудник организации несет ответственность за кибербезопасность и осознает собственный вклад в ее обеспечение. Пользователи и разработчики не только «осведомлены о безопасности», но и являются первой линией защиты.
Сотрудничество и интеграция: Культура сотрудничества и осведомленности в вопросах ИБ играет важную роль в обнаружении потенциальных аномалий командами специалистов.
Прагматичная реализация: Использование независимой от шаблонов модели цифровой безопасности и конфиденциальности, ориентированной на разработку приложений, позволит организациям прагматично подходить к безопасности в DevOps.
Обеспечение соответствия стандартам и разработки: Ключом к заполнению пробелов между соответствием стандартам и разработкой является преобразование средств управления в соответствующие критерии ПО, а также определение переломных моментов в жизненном цикле ПО, где эти средства управления могут быть автоматизированы и измерены.
Автоматизация: Качество ПО может быть улучшено за счет более тщательного, своевременного и регулярного тестирования. Поддающиеся автоматизации процессы нужно автоматизировать, а от неподдающихся следует отказаться.
Измерение, мониторинг, протоколирование и действие: Для успеха DevSecOps разработка ПО и его работа после установки на системах должны непрерывно контролироваться уполномоченными лицами в отведенное для этого время.
