Je SecDevOps jen další buzzword?

Publikováno: 12. 03. 2018, v rubrice: Vývoj SW, autor: , zobrazeno: 1 335x

Hlavní myšlenkou SecDevOps je užší spolupráce mezi vývojem (Development, zkr. Dev) a provozem (Operations, zkr. Ops) a útvarem bezpečnosti (Security, zkr. Sec).

V rámci DevOps je důležité rychlé uvolňování a nasazování nových verzí, k tomu je třeba provádět nepřetržité testování, soustavný monitoring a neustále se zlepšovat.

Po nasazení aplikace by mělo probíhat její vyhodnocování a reportování problémů s jejím během zpět vývojovému týmu a ve výsledku by měla být koncovému zákazníkovi doručena vyšší kvalita, a mělo by se zrychlit uvolňování nových verzí. Obzvlášť na významu toto téma nabývá v případě, že se na vývoji podílí více firem.

Problém je, že s tímto přístupem dochází sice k rychlejšímu nasazování nových verzí, ale bohužel i včetně bezpečnostních děr. V tom fofru prostě na nějaké důkladné bezpečnostní testy tak nějak nezbyl čas, a tak nějakou chytrou hlavu napadlo, že je nutné do procesu zapojit i bezpečnost a vznikla tak další zkratka SecDevOps.

V rámci SecDevOps je zapotřebí mít zavedené na vysoké úrovni příslušné procesy, používat nástroje na automatizované nasazování a testování, mít v pořádku verzování a konfigurační databázi, a především efektivně komunikovat a spolupracovat.

Nemohu se však ubránit dojmu, že se tady někdo zase snaží vymyslet kolo, protože v zásadě se nejedná o nic jiného než bezpečný životní cyklus vývoje software (Secure Software Development Life Cycle, zkr. SSDLC), takže jsme v zásadě zase tam, kde jsme byli.

Zmiňovaná automatizace pak v zásadě jen odráží vyzrálost celého SSDLC procesu a voláni po vzájemné komunikaci a spolupráci práci pak zase poukazuje na nevhodnou organizační strukturu a absenci self organized týmů.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print
Související články:
  1. Bezpečnost webových aplikací: SSDLC
  2. APT je jen další buzzword
  3. Protokol o předání SW k testování
  4. Kybernetické hrozby jsou jen další buzzword


K článku “Je SecDevOps jen další buzzword?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

 

Témata
analýza rizik Android APT autentizace bankovní malware bezpečnostní incident buzzword BYOD cloud computing cybercrime DLP Flash GDPR hodnocení zranitelností HR hrozby informační bezpečnost internetové bankovnictví internetový marketing iOS IT governance IT náklady kryptografie kybernetická bezpečnost LinkedIn lámání hesel malware n-tier nové hrozby OTP phishing ransomware rizika rozhovor SEO smartphone socialní sítě strategický management tablety Testování SW Windows zranitelnosti zákon o kybernetické bezpečnosti řízení informační bezpečnosti řízení informačních rizik