首先,当我听到“ SecOps”一词时,我将其视为一种旨在将安全和运营团队联系在一起的管理方法,就像将DevOps统一开发人员和运营团队一样。

但是安全性不仅仅是DevOps难题的一部分吗?
DevOps已经包含了组件监视,版本管理,基准测试,代码审查,持续监视之类的过程。 br /> SecOps还能为DevOps团队添加什么,或者可能是另一个时髦的词?

#1 楼

我同意这是DevOps的流行语。

SecOps的主要任务是在常规运营工程师的基础上添加的主要任务是承担遵循CVE发布提要,处理修复,通常处理过去由安全或网络管理团队处理的事情(防火墙规则,Web应用程序防火墙例外)

如果您在DevOps组织中看到Sysadmin作为能够读取并参与其中的sysadmin,在应用程序代码中,SecOps就是系统管理员,可以成为围绕服务器本身的基础结构安全规则的一部分。

在某些结构中,保持职责孤岛(销售,业务,开发,运营,安全,监控),安全工程师和运营工程师与开发人员和运营工程师一样分离,尽管不拥护一个完整的DevOps组织,但迁移到SecOps模型是第一步,使两个分离的团队重新团结在一起,这两个团队过去在仓库中的距离更近且对手较少组织化tion。有些人还比增加代码技能更愿意在当前工作中添加操作或安全方面。

总而言之,我将SecOps定义为向DevOps组织迈出的第一步,旨在由安全/网络/操作系统工程师组成的多技能团队,他们是现有部门中的独立团队。

#2 楼

我确实同意Tensibai的回答,因为SecOps和DevOps本身一样是流行语,并且SecOps是孤立的组织与凝聚力组织之间的垫脚石。

我观察到了另一方面同样是正确的,也就是说,如果您有一个使用DevOps模型进行操作的组织,并且具有DevOps的工作方式并遵循DevOps Practice,则他们可能会任命一个具有SecOps角色的人员将IT安全实践集成到该模型中。 >
通常,它被冠以DevSecOps或DevOpsSec的商标,以桥接所有三个学科。

进一步阅读:


DevOpsSec由Jim Bird
DevSecCon:DevSecOps会议
速度欧盟:持续安全性角色,并有参加去年在阿姆斯特丹举行的Velocity会议的特权。

评论


最近,我以DevOps Cafe播客的身份与Alan Shimel(ashimmy.com)结识。另一个很棒的资源。

– Stuart Ainsworth
17年9月28日在0:16