Kako poboljšati sigurnost DevOpsa sa Value Stream Managementom
Podijelite na društvenim mrežama
Kako poboljšati sigurnost DevOpsa sa Value Stream Managementom
Matt Saunders
18th siječanj, 2022
8 min čitanja
Matt Saunders
18th siječanj, 2022
8 min čitanja
Prijelaz na odjeljak
Prijelaz na odjeljak
Što ne funkcionira u sigurnosti?
Kako Value Stream Management (VSM) može pomoći
Ostvarivanje veće vrijednost iz sigurnosti DevOpsa
Saznajte kako Value Stream Management olakšava izgradnju bolje sigurnosti u strukturi DevOpsa i koje prednosti može donijeti.
Cyberkriminalci su neumorni – kontinuirano iskorištavaju ranjivosti i slabosti koda koje se često otkrivaju u tvom softveru. Čak ni najveće organizacije nisu imune jer i one moraju držati korak s brzim tempom novih nadogradnji. I unatoč naporima sigurnosnih timova i impresivnom nizu dostupnih sigurnosnih rješenja, sustavi su i dalje ranjivi. Ono što je jasno je da što više možeš razviti dobru sigurnosnu praksu i što više slabosti sustava možeš eliminirati, i to čim prije u životnom ciklusu razvoja softvera (SDLC), manja je vjerojatnost da će doći do neovlaštenog upada u sustav.
Sigurnost DevOpsa pomogla je kod tih problema. Sigurnosni pristup i ugradnja sigurnosnih alata u strukturu procesa od samog početka pomažu u ranijem prepoznavanju problema. No, iako postoje opravdani razlozi za ranije uvođenje određenih mehanizama i brzo prepoznavanje problema uslijed toga, postoji još jedan korak koji možemo poduzeti kako bismo istaknuli sigurnosne probleme i osigurali da se riješe prije nego što bude prekasno. Timovi za sigurnost DevOpsa trebaju informacije brzo i često kako bi lakše surađivali i radili na izgradnji sigurnijeg softvera.
U ovom ćemo članku pogledati što ne funkcionira u sigurnosti DevOpsa i kako njegovo uparivanje sa Value Stream Managementom (VSM) pomaže u izgradnji boljeg koda koji se može nositi s prijetnjama s kojima se suočavamo.
Što ne funkcionira u sigurnosti?
Čak i s načinom razmišljanja koji se temelji na sigurnosti i odgovarajućim alatima i praksama vjerojatno ćete imati niz problema sa svojom strategijom sigurnosti kako ona sazrijeva. Bilo da se radi o nedostatku znanja, slaboj vidljivosti ili poteškoćama u samom procesu, uvijek postoji prostor za napredak. Pogledajmo prvo neke od uobičajenih komplikacija.
Nepregledna slika cjelovitog procesa
Sigurnosni timovi trebaju kvalitetna rješenja i uvid u nedostatke koda u stvarnom vremenu što prije kako bi mogli brzo djelovati i ažurirati kôd usred procesa. Uz cjelovitu i jasnu sliku procesa svi podjednako razumiju situaciju. Umjesto da se oslanjaju na povratne informacije operativnog tima, timovi za razvoj poslovanja mogu bolje razumjeti parametre u kojima rade te samim time uštedjeti vrijeme i poboljšati sustav povratnih informacija.
Izolirani timovi
Kako sigurnosni tim sazrijeva, sazret će i njegova sposobnost za suradnju, kako između tima za razvoj poslovanja, operativnog tima i zaposlenika zaduženih za sigurnost, tako i u cijelom poduzeću. Trenutačno timovi možda još uvijek rade izolirano jedni od drugih, usredotočeni na vlastito područje stručnosti, a bilo bi uputno da se usredotoče na poboljšanje kvalitete te povećanje brzine i sigurnosti na svim područjima.
Manjkavosti procesa
Dok se prilagođavate ovom novom načinu rada usredotočenom na sigurnost, doći će do neočekivanih zastoja u vašem procesu. Na primjer, ako sigurnosni tim pronađe nedostatke prije produkcije, kod mora biti prerađen. To može imati ozbiljne posljedice, uzrokujući zastoje u procesu i kašnjenja.
Praznine u znanju
Kako se vaši timovi budu bolje upoznavali sa sigurnosnim pitanjima, pojavit će se nedostaci u znanju koji sprječavaju postizanje maksimalne učinkovitosti. Na primjer, nedostatak razumijevanja o upotrebi i važnosti sustava povratnih informacija i nedostatak znanja o drugim softverskim tokovima vrijednosti u cijeloj organizaciji.
Nije sinkronizirano
S rastućim kompletom alata i sve više ljudi uključenih u osiguravanje sigurnosti, usklađenosti i upravljanja, koji su ugrađeni u svaki dio koda, postoji velika vjerojatnost da protok svih tih informacija neće biti sinkroniziran. Bez usklađivanja riskirate ponovni, nepotreban rad i značajna kašnjenja.
Nedostaju metrike
Dok poduzimate korake kako biste značajnije uključili sigurnost u svoj SDLC, morate i pratiti relevantne metrike. Nedostatak određenih sigurnosnih metrika te alata za analizu i dobivanje korisnih informacija od njih može dovesti do problema – nećete znati je li trud uložen u sigurnost urodio plodom i gdje napraviti poboljšanja.
Kako Value Stream Management (VSM) može pomoći
VSM je učinkovita poslovna praksa koja određuje vrijednost razvoja softvera te truda uloženog u isporuku i resursa za to. VSM platforme pružaju podatke u stvarnom vremenu i analitičke alate za optimizaciju tijeka rada i podršku inicijativama za poboljšanje poslovanja. Uključuju Value Stream Mapping, tehniku koja pomaže vizualizaciji, prepoznavanju i kontinuiranom poboljšavanju protoka vrijednosti u skupu aktivnosti cjelovitog procesa.
S VSM-om lakše je razumjeti koliko je vremena potrebno za isporuku vrijednosti klijentima, steći uvid u to gdje nastaje otpad i ubrzati isporuku vrijednosti. Moći ćete pružiti informacije za razgovore na temelju podataka u svojoj organizaciji i osigurati sljedivost; i možete procijeniti koju će vrijednost vaš rad donijeti i razviti razmišljanje o budućem radu. Da ne spominjemo mogućnost poboljšanja i ubrzanja sustava povratnih informacija.
Kombiniranje ovog pristupa sa strategijom sigurnosti DevOpsa pomaže u brzom i učinkovitom uklanjanju manjkavosti sustava. Evo tri glavna načina na koje primjena Value Stream Managementa može poboljšati sigurnosne procese.
Redovito slanje i primanje povratnih informacija
Koristeći podatke iz DevOps alata za sigurnost, imat ćete mnogo detaljnije razumijevanje manjkavosti toka vrijednosti. Umjesto da se oslanja samo na podatke nakon neovlaštenog upada u sustav, koji se mogu analizirati i iskoristiti kako bi se spriječili slični upadi, pristup VSM-a daje svima pristup informacijama u stvarnom vremenu o tome koje su manjkavosti sustava odmah iskorištene. To stvara učinkovitiji sustav povratnih informacija, kojim se služe operativni timovi, timovi za razvoj poslovanja i sigurnosni timovi. Sigurnosna pitanja zatim se rješavaju na samom izvoru.
Automatizacija toka vrijednostia za sigurnosne probleme
Uvođenje sigurnosti ranije u SDLC imat će osjetan utjecaj, ali da bi to funkcioniralo, morate prihvatiti automatizaciju. Pokretanje sigurnosnih skeniranja sustava u stvarnom vremenu, posebno koda prije nego što bude potvrđen i implementiran, pomaže u osiguravanju što bržeg otkrivanja nedostataka softvera i provjeri usklađenosti softvera. S tradicionalnim sigurnosnim metodama to nije moguće.
Primajte potrebne informacije kako biste postigli više
Što više informacija imate rano u svom SDLC-u, to će vaši timovi i uprava morati poduzeti mjere kako bi poboljšali i ispravili sve nedostatke. Kad imate sve informacije koje su vam potrebne na jednom mjestu i kad su vam nadohvat ruke, vrlo je lako ukloniti nedostatke. Ovo detaljno izvješćivanje i sveobuhvatna analitika imaju još jednu prednost – pružit će vam podatke koji su potrebni za dobivanje podrške u budućim inicijativama.
Ostvarivanje veće vrijednost iz sigurnosti DevOpsa
Ne samo da će VSM pristup sigurnosti DevOpsa pomoći u upravljanju i osiguranju usklađenosti, nego će poboljšati i ukupnu kvalitetu softvera koji kreirate, pružajući još veću vrijednost za vaše klijente. Ako želite saznati više o Value Stream Managementu – kako se to odnosi na vaš sigurnosni sustav, prednosti koje donosi i što trebate učiniti za početak, preuzmite naš besplatni eBook još danas.
Napisao/la
Matt Saunders
Voditelj za DevOps
Zahvaljujući bogatom iskustvu administratora Linux sustava Matt je autoritet u svemu što se odnosi na DevOps. U Adaptavistu, ali i šire, zagovara DevOps načine rada, pomažući timovima da maksimalno iskoriste svoj potencijal, proces i tehnologiju za učinkovitu i sigurnu isporuku softvera.