helen beal 曾經在一次討論什麼是 devsecops 工程師的會議上發言。令她驚訝的是,在與會人員中,許多人都沒有將安全機制引入 devops。在與人們討論之後,她將大家的問題總結為三類:安全機制會製造額外的隔閡;組織中的人很難理解 devops,因此安全機制可能會造成更多困惑;可能沒有為安全機制預留空間。
當然,helen 不同意這些觀點。她在技術領域從業近20年,專注於軟體開發生命週期,對於 devops 和devsecops 有一些自己的理解。她自稱為 ranger4 的 「devopsologist」,因為她幫助那裡的組織實現 devops。她在世界各地分享知識,並且她將參加我們在 2018 年的 nexus user conference ,討論工具倉庫及其在 devsecops 工具鏈中的角色。
從高層次來看,helen 為 devsecops 提出了一些重要建議:
helen 花了一些時間闡述如何培養安全文化,組織在維護系統和人員行為安全時可以採用的一些關鍵原則和行動。
行為安全使個人和團隊能夠以安全的方式行事。為了培養行為安全,她建議:
她提到了幾個真實的例子,例如 esty,lego 還有 p&g 的「失敗獎勵」以及 spotify 用來展示和追蹤失敗的「失敗牆」。
系統安全能夠保障你的基礎設施安全,她關於培養系統安全的建議包括:
在講述 devsecops 案例並說明如何灌輸安全文化後,她將話題轉向如何使用製品倉庫。 畢竟,這是乙個 nexus 會議,製品倉庫是 nexus 的特色。
她引用了 manfred moser 的話:「開發軟體中沒有製品倉庫和製造業中沒有倉庫是一樣的。」你不會奢望在沒有倉庫的情況下開辦工廠,軟體開發也一樣。製品倉庫儲存了你每次構建的結果,並且確保你擁有可用的構建。
製品倉庫位於 devops 工具鏈的整合階段,儘管其在構思階段可被用來表示你想使用的工具是可用狀態。
如果沒有開源策略,你就不應該使用製品倉庫。製品倉庫會自動執行你的開源策略,這樣就不會像 35% 的組織一樣有開源策略但忽略它。
helen 利用 nexus lifecycle 來告訴開發人員如何更好地使用製品,降低風險,並協助運維和安全部門確保使用了正確的軟體。
最重要的是,如果你還沒有用上 devsecops ,那你應該盡早啟用。這是未來的趨勢,它已經渡過了發展期成為了乙個成熟的概念,也有成熟的工具來幫助你。這會花一些時間,但一定是值得的。
如果對 helen 的整篇演講感興趣,可以在 此處 免費**。
翻譯:李煜東
我們為什麼需要睡眠
隨著時光的消逝,你是否發覺眼角的皺紋逐漸加深?變得越來越粗糙黯淡?記憶力也開始衰退?這個時候很多人都會感慨 時光易逝,容顏易老 並且開始習慣接受自己已慢慢變老,提前加入老人的行列。其實,這一切也許只是因為你長時間睡眠不足造成的。如果能夠早些了解這些常識,並引起足夠重視,你的青春也許還能保留十年。睡眠...
我們為什麼需要睡眠
隨著時光的消逝,你是否發覺眼角的皺紋逐漸加深?變得越來越粗糙黯淡?記憶力也開始衰退?這個時候很多人都會感慨 時光易逝,容顏易老 並且開始習慣接受自己已慢慢變老,提前加入老人的行列。其實,這一切也許只是因為你長時間睡眠不足造成的。如果能夠早些了解這些常識,並引起足夠重視,你的青春也許還能保留十年。睡眠...
我們為什麼需要Map Reduce?
在討論我們是否真的需要map reduce這一分布式計算技術之前,我們先面對乙個問題,這可以為我們討論這個問題提供乙個直觀的背景。我們先從最直接和直觀的方式出發,來嘗試解決這個問題 先偽一下這個問題 select count distinct surname from big name file 我...