Prijeđi na glavni sadržaj
Kontakt
Kako poboljšati sigurnost DevOpsa sa Value Stream Managementom
Podijelite na društvenim mrežama

Kako poboljšati sigurnost DevOpsa sa Value Stream Managementom

Matt Saunders
Matt Saunders
18. siječnja 2022.
8 min čitanja
Value stream management
Matt Saunders
Matt Saunders
18. siječnja 2022.
8 min čitanja
Prijelaz na odjeljak
Što ne funkcionira u sigurnosti?
Kako Value Stream Management (VSM) može pomoći
Ostvarivanje veće vrijednost iz sigurnosti DevOpsa

Saznajte kako Value Stream Management olakšava izgradnju bolje sigurnosti u strukturi DevOpsa i koje prednosti može donijeti.

Cyberkriminalci su neumorni – kontinuirano iskorištavaju ranjivosti i slabosti koda koje se često otkrivaju u tvom softveru. Čak ni najveće organizacije nisu imune jer i one moraju držati korak s brzim tempom novih nadogradnji. I unatoč naporima sigurnosnih timova i impresivnom nizu dostupnih sigurnosnih rješenja, sustavi su i dalje ranjivi. Ono što je jasno je da što više možeš razviti dobru sigurnosnu praksu i što više slabosti sustava možeš eliminirati, i to čim prije u životnom ciklusu razvoja softvera (SDLC), manja je vjerojatnost da će doći do neovlaštenog upada u sustav.
Sigurnost DevOpsa pomogla je kod tih problema. Sigurnosni pristup i ugradnja sigurnosnih alata u strukturu procesa od samog početka pomažu u ranijem prepoznavanju problema. No, iako postoje opravdani razlozi za ranije uvođenje određenih mehanizama i brzo prepoznavanje problema uslijed toga, postoji još jedan korak koji možemo poduzeti kako bismo istaknuli sigurnosne probleme i osigurali da se riješe prije nego što bude prekasno. Timovi za sigurnost DevOpsa trebaju informacije brzo i često kako bi lakše surađivali i radili na izgradnji sigurnijeg softvera.
U ovom ćemo članku pogledati što ne funkcionira u sigurnosti DevOpsa i kako njegovo uparivanje sa Value Stream Managementom (VSM) pomaže u izgradnji boljeg koda koji se može nositi s prijetnjama s kojima se suočavamo.

Što ne funkcionira u sigurnosti?

Čak i s načinom razmišljanja koji se temelji na sigurnosti i odgovarajućim alatima i praksama vjerojatno ćete imati niz problema sa svojom strategijom sigurnosti kako ona sazrijeva. Bilo da se radi o nedostatku znanja, slaboj vidljivosti ili poteškoćama u samom procesu, uvijek postoji prostor za napredak. Pogledajmo prvo neke od uobičajenih komplikacija.
Nepregledna slika cjelovitog procesa
Sigurnosni timovi trebaju kvalitetna rješenja i uvid u nedostatke koda u stvarnom vremenu što prije kako bi mogli brzo djelovati i ažurirati kôd usred procesa. Uz cjelovitu i jasnu sliku procesa svi podjednako razumiju situaciju. Umjesto da se oslanjaju na povratne informacije operativnog tima, timovi za razvoj poslovanja mogu bolje razumjeti parametre u kojima rade te samim time uštedjeti vrijeme i poboljšati sustav povratnih informacija.
Izolirani timovi
Kako sigurnosni tim sazrijeva, sazret će i njegova sposobnost za suradnju, kako između tima za razvoj poslovanja, operativnog tima i zaposlenika zaduženih za sigurnost, tako i u cijelom poduzeću. Trenutačno timovi možda još uvijek rade izolirano jedni od drugih, usredotočeni na vlastito područje stručnosti, a bilo bi uputno da se usredotoče na poboljšanje kvalitete te povećanje brzine i sigurnosti na svim područjima.
Manjkavosti procesa
Dok se prilagođavate ovom novom načinu rada usredotočenom na sigurnost, doći će do neočekivanih zastoja u vašem procesu. Na primjer, ako sigurnosni tim pronađe nedostatke prije produkcije, kod mora biti prerađen. To može imati ozbiljne posljedice, uzrokujući zastoje u procesu i kašnjenja.
Praznine u znanju
Kako se vaši timovi budu bolje upoznavali sa sigurnosnim pitanjima, pojavit će se nedostaci u znanju koji sprječavaju postizanje maksimalne učinkovitosti. Na primjer, nedostatak razumijevanja o upotrebi i važnosti sustava povratnih informacija i nedostatak znanja o drugim softverskim tokovima vrijednosti u cijeloj organizaciji.
Nije sinkronizirano
S rastućim kompletom alata i sve više ljudi uključenih u osiguravanje sigurnosti, usklađenosti i upravljanja, koji su ugrađeni u svaki dio koda, postoji velika vjerojatnost da protok svih tih informacija neće biti sinkroniziran. Bez usklađivanja riskirate ponovni, nepotreban rad i značajna kašnjenja.
Nedostaju metrike
Dok poduzimate korake kako biste značajnije uključili sigurnost u svoj SDLC, morate i pratiti relevantne metrike. Nedostatak određenih sigurnosnih metrika te alata za analizu i dobivanje korisnih informacija od njih može dovesti do problema – nećete znati je li trud uložen u sigurnost urodio plodom i gdje napraviti poboljšanja.

Kako Value Stream Management (VSM) može pomoći

VSM je učinkovita poslovna praksa koja određuje vrijednost razvoja softvera te truda uloženog u isporuku i resursa za to. VSM platforme pružaju podatke u stvarnom vremenu i analitičke alate za optimizaciju tijeka rada i podršku inicijativama za poboljšanje poslovanja. Uključuju Value Stream Mapping, tehniku koja pomaže vizualizaciji, prepoznavanju i kontinuiranom poboljšavanju protoka vrijednosti u skupu aktivnosti cjelovitog procesa.
S VSM-om lakše je razumjeti koliko je vremena potrebno za isporuku vrijednosti klijentima, steći uvid u to gdje nastaje otpad i ubrzati isporuku vrijednosti. Moći ćete pružiti informacije za razgovore na temelju podataka u svojoj organizaciji i osigurati sljedivost; i možete procijeniti koju će vrijednost vaš rad donijeti i razviti razmišljanje o budućem radu. Da ne spominjemo mogućnost poboljšanja i ubrzanja sustava povratnih informacija.
Kombiniranje ovog pristupa sa strategijom sigurnosti DevOpsa pomaže u brzom i učinkovitom uklanjanju manjkavosti sustava. Evo tri glavna načina na koje primjena Value Stream Managementa može poboljšati sigurnosne procese.
Redovito slanje i primanje povratnih informacija
Koristeći podatke iz DevOps alata za sigurnost, imat ćete mnogo detaljnije razumijevanje manjkavosti toka vrijednosti. Umjesto da se oslanja samo na podatke nakon neovlaštenog upada u sustav, koji se mogu analizirati i iskoristiti kako bi se spriječili slični upadi, pristup VSM-a daje svima pristup informacijama u stvarnom vremenu o tome koje su manjkavosti sustava odmah iskorištene. To stvara učinkovitiji sustav povratnih informacija, kojim se služe operativni timovi, timovi za razvoj poslovanja i sigurnosni timovi. Sigurnosna pitanja zatim se rješavaju na samom izvoru.
Automatizacija toka vrijednostia za sigurnosne probleme
Uvođenje sigurnosti ranije u SDLC imat će osjetan utjecaj, ali da bi to funkcioniralo, morate prihvatiti automatizaciju. Pokretanje sigurnosnih skeniranja sustava u stvarnom vremenu, posebno koda prije nego što bude potvrđen i implementiran, pomaže u osiguravanju što bržeg otkrivanja nedostataka softvera i provjeri usklađenosti softvera. S tradicionalnim sigurnosnim metodama to nije moguće.
Primajte potrebne informacije kako biste postigli više
Što više informacija imate rano u svom SDLC-u, to će vaši timovi i uprava morati poduzeti mjere kako bi poboljšali i ispravili sve nedostatke. Kad imate sve informacije koje su vam potrebne na jednom mjestu i kad su vam nadohvat ruke, vrlo je lako ukloniti nedostatke. Ovo detaljno izvješćivanje i sveobuhvatna analitika imaju još jednu prednost – pružit će vam podatke koji su potrebni za dobivanje podrške u budućim inicijativama.

Ostvarivanje veće vrijednost iz sigurnosti DevOpsa

Ne samo da će VSM pristup sigurnosti DevOpsa pomoći u upravljanju i osiguranju usklađenosti, nego će poboljšati i ukupnu kvalitetu softvera koji kreirate, pružajući još veću vrijednost za vaše klijente. Ako želite saznati više o Value Stream Managementu – kako se to odnosi na vaš sigurnosni sustav, prednosti koje donosi i što trebate učiniti za početak, preuzmite naš besplatni eBook još danas.
Preuzmite eBookarrow icon
Napisao/la
Matt Saunders
Matt Saunders
Voditelj za DevOps
Zahvaljujući bogatom iskustvu administratora Linux sustava Matt je autoritet u svemu što se odnosi na DevOps. U Adaptavistu, ali i šire, zagovara DevOps načine rada, pomažući timovima da maksimalno iskoriste svoj potencijal, proces i tehnologiju za učinkovitu i sigurnu isporuku softvera.
DevOps