Je SecDevOps jen další buzzword?

Publikováno: 12. 03. 2018, v rubrice: Vývoj SW, autor: , zobrazeno: 1 407x

Hlavní myšlenkou SecDevOps je užší spolupráce mezi vývojem (Development, zkr. Dev) a provozem (Operations, zkr. Ops) a útvarem bezpečnosti (Security, zkr. Sec).

V rámci DevOps je důležité rychlé uvolňování a nasazování nových verzí, k tomu je třeba provádět nepřetržité testování, soustavný monitoring a neustále se zlepšovat.

Po nasazení aplikace by mělo probíhat její vyhodnocování a reportování problémů s jejím během zpět vývojovému týmu a ve výsledku by měla být koncovému zákazníkovi doručena vyšší kvalita, a mělo by se zrychlit uvolňování nových verzí. Obzvlášť na významu toto téma nabývá v případě, že se na vývoji podílí více firem.

Problém je, že s tímto přístupem dochází sice k rychlejšímu nasazování nových verzí, ale bohužel i včetně bezpečnostních děr. V tom fofru prostě na nějaké důkladné bezpečnostní testy tak nějak nezbyl čas, a tak nějakou chytrou hlavu napadlo, že je nutné do procesu zapojit i bezpečnost a vznikla tak další zkratka SecDevOps.

V rámci SecDevOps je zapotřebí mít zavedené na vysoké úrovni příslušné procesy, používat nástroje na automatizované nasazování a testování, mít v pořádku verzování a konfigurační databázi, a především efektivně komunikovat a spolupracovat.

Nemohu se však ubránit dojmu, že se tady někdo zase snaží vymyslet kolo, protože v zásadě se nejedná o nic jiného než bezpečný životní cyklus vývoje software (Secure Software Development Life Cycle, zkr. SSDLC), takže jsme v zásadě zase tam, kde jsme byli.

Zmiňovaná automatizace pak v zásadě jen odráží vyzrálost celého SSDLC procesu a voláni po vzájemné komunikaci a spolupráci práci pak zase poukazuje na nevhodnou organizační strukturu a absenci self organized týmů.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.
Související články:
  1. Bezpečnost webových aplikací: SSDLC
  2. APT je jen další buzzword
  3. Protokol o předání SW k testování
  4. Kybernetické hrozby jsou jen další buzzword


K článku “Je SecDevOps jen další buzzword?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: