منو سایت

چالش‌های پیاده‌سازی موفق DevSecOps

 تاریخ انتشار :
/
  اخبار استارتاپ
چالش‌های پیاده‌سازی موفق DevSecOps

چالش‌های پیاده‌سازی موفق DevSecOps

DevSecOps یک تغییر فرهنگی فراتر از یک رویکرد توسعه ساده است. این توسعه مستلزم تغییر در دیدگاه تیم های امنیتی در مورد امنیت، عملیات و توسعه و مهمتر از آن نقش این عناصر در بهینه سازی چرخه حیات فناوری اطلاعات است.

مدیران پروژه و رهبران سازمانی باید درک کنند که کارکنان در این سه حوزه دیدگاه های متفاوتی در مورد پروژه های فناوری اطلاعات دارند. ایجاد تعادل بین این دیدگاه ها مستلزم پرداختن به محدودیت های ایجاد شده توسط تفاوت های فرهنگی و تلاش برای انسجام و هماهنگی است. در این مقاله به برخی از چالش های پیاده سازی DevSecOps خواهیم پرداخت.

1 یکدیگر را سرزنش کنید

یکی از مهمترین موانع اجرای موفق DevSecOps و تحویل مداوم و یکپارچه، تفاوت فرهنگی بین کارشناسان امنیتی و توسعه دهندگان است. اولین قدم برای پر کردن چنین شکافی، درک تفاوت دیدگاه‌ها بین دو گروه است.

تیم های امنیت سایبری را می توان با شناسایی مسائل امنیتی در مرحله ادغام و آزمایش به دلیل کند کردن روند توسعه سرزنش کرد. چنین دیدگاهی باعث می شود تا تیم های امنیت سایبری نتوانند مسائل امنیتی را تا زمان تولید کد شناسایی کنند. در نتیجه این مشکل منجر به آسیب پذیری های زیادی در محیط تولید و همچنین مشکلات ناشی از آنها می شود.

البته این سرزنش ها دو طرفه اتفاق می افتد. زمانی که امنیت در فرآیند توسعه تعبیه نشده باشد، توسعه دهندگان به خاطر سایر مسائل امنیتی که بعداً در فرآیند تحویل نرم افزار رخ می دهد، سرزنش می شوند.

در نتیجه، تیم های توسعه بیشتر به دنبال میانبرها هستند. برای مثال، ممکن است راه‌هایی برای دور زدن تیم امنیت سایبری با استفاده از فناوری‌های اطلاعاتی سایه بیابند یا نرم‌افزاری را به محیط تولید ارائه دهند که به دقت ارزیابی نشده است.

سایه IT

2. نداشتن انگیزه مناسب

معمولاً بین اولویت ها، برنامه ها و انگیزه های توسعه، عملیات و تیم های امنیتی تفاوت های زیادی وجود دارد. در نتیجه این تیم ها با یکدیگر هماهنگ نیستند.

برخی از تضادهای رایج در این زمینه عبارتند از:

  • کیفیت در مقابل سرعت؛
  • اثربخشی عملیاتی در برابر کاهش ریسک؛
  • بهره وری در مقابل ثبات

معمولا توسعه دهندگان برای انتشار سریع کد تحت فشار هستند. از سوی دیگر، تیم های امنیت سایبری اهداف خاص خود را برای کاهش ریسک یا رعایت استانداردهای قانونی دارند.

با توجه به این اولویت‌های متضاد، جای تعجب نیست که امنیت اغلب به‌عنوان یک مانع و نه یک عامل توانمندسازی استراتژیک دیده می‌شود.

برای غلبه بر چنین تضادهای فرهنگی، باید یک محیط فرهنگی ایجاد کنید که در آن همه افراد در پروژه دارای اهداف و ارزش های یکسان باشند. این می تواند خطر را کاهش دهد و مقاومت را در کل تیم افزایش دهد.

در صورت امکان، باید هر چهار مؤلفه را برای افزایش سود داشته باشید.

3. عدم اعتماد و شفافیت

در یک سازمان، اعتماد مهمترین عامل در انسجام تیم و تقویت همکاری است. در DevSecOps، اعتماد فراتر از اعتماد مهندسان و توسعه دهندگان همکار است و باید به امنیت و کیفیت فرآیندهای موجود اعتماد کامل وجود داشته باشد.

شفافیت نیز بسیار مهم است. چنین عملکردی باعث می شود که همه به طور کامل از آنچه او و دیگران انجام می دهند و چرا آن را انجام می دهند آگاه شوند. به عبارت دیگر، اعتماد به شفافیت بستگی دارد.

اعضای تیم DevSecOps باید مطمئن شوند که همه در جهت یک هدف مشترک کار می کنند. رسیدن به این مرحله کار آسانی نیست.

بهترین راه برای حل این مشکل ارتقای همکاری و شفافیت بین دو کشور است. حتی کارشناسان امنیت سایبری در سازمان های دولتی معتقدند که ایجاد اعتماد کامل پیش نیاز موفقیت DevOps است.

شما باید فرهنگ مسئولیت پذیری و مالکیت را در بین همه اعضای تیم ترویج کنید. آنها باید بدانند که در درجه اول مسئول اعمال خود هستند. این امر باعث افزایش اعتماد بین همه احزاب و افراد می شود.

اعضای تیم DevSecOps

چگونه DevSecOps را به طور مداوم اعمال کنیم؟

قبل از اعمال روش‌های DevSecOps، هر سازمان باید ابتدا یک قدم به عقب بردارد و فرهنگ فعلی خود را ارزیابی کند. به عنوان مثال، تجزیه و تحلیل اختلاف می تواند به بهینه سازی فرآیند پیاده سازی برای نتایج بهتر کمک کند.

DevSecOps فقط یک ابزار یا فناوری جدید نیست، بلکه رویکردی برای تعبیه امنیت در طول فرآیند توسعه است.

رسیدن به این هدف کار آسانی نیست. تغییر فرهنگی مورد نیاز در DevSecOps بسیار پیچیده تر از تغییر در سایر فناوری ها است. اگر این تغییرات به درستی اجرا نشود، حتی با استفاده از ابزارهای پیشرفته و اجرای دقیق سایر مراحل، فرآیند اجرای DevSecOps با شکست مواجه خواهد شد.

فرهنگ منسجم DevSecOps باید شامل ویژگی های زیر باشد:

  • دید: همه، از جمله توسعه دهندگان، تیم های امنیت سایبری و عملیات، باید بتوانند ببینند در چرخه عمر برنامه چه اتفاقی می افتد.
  • مشارکت: تیم‌های امنیت سایبری بخشی از خط توسعه هستند، نه یک فرآیند جداگانه که بعدا اتفاق می‌افتد. توسعه‌دهندگان و تیم‌های امنیت سایبری می‌توانند برای برآوردن الزامات با یکدیگر همکاری کنند، حتی اگر با روش‌های سنتی آبشاری متفاوت باشند.
  • اتوماسیون: ساختارها و آزمایشات خودکار به شما این امکان را می دهد که به سرعت فرصت هایی را بدون به خطر انداختن امنیت یا کیفیت فراهم کنید.

نتیجه

این یک افسانه است و به دور از این واقعیت است که سازمان ها می توانند DevSecOps را به سادگی با افزودن ابزارهای امنیتی به خط توسعه پیاده سازی کنند.

تیم های توسعه، امنیت و عملیات در مراحل مختلف چرخه توسعه محصول درگیر هستند و اولویت ها، مسئولیت ها و فرآیندهای خاص خود را دارند.

بنابراین، DevSecOps بیش از ابزار نیاز به دیدگاه دارد. این حرکت یک تغییر فرهنگی است که به مهندسان عملیاتی، کارشناسان امنیت سایبری و توسعه دهندگان اجازه می دهد تا برای تمرکز بر تحویل و قابلیت اطمینان محصول با یکدیگر همکاری کنند.

اخبار امنیت سایبری را در سایت فراستی دنبال کنید.

منبع: infosecurity-magazine