5个问题可帮助您找到2022年DevOps的最佳人选但是,只有在考虑相关的安全风险缓解措施并将其嵌入DevOps流程时,DevOps的优势才会发挥作用。本着这种精神,这里有五个问题我会问DevOps候选人作为CISO。这些问题的一个共同点是促使人们了解DevOps(或DevSecOps,考虑到安全因素)求职者是将自己视为帮助解决安全风险管理流程的一部分,还是更狭隘地专注于从工程和IT部门工作看法。1.DevOps的安全优势是什么?完善的DevOps流程可以解决许多安全风险。拥有一位理解这一点并且能够表达并同意您的工程师成为安全团队的一部分。通过DevOps实现的自动化允许在开发过程中内置更多的安全控制,并将正确实施这些控制的责任转移给可能带来风险的开发人员和工程师。认识到这一职责的价值并以此为基础的候选人——例如拥有更好的控制,如强大的配置管理、访问控制、系统强化和资产库存——更有可能使用他们可用的自动化,而不是寻找方法绕过这个过程。2、在DevOps模型和环境中,遇到过哪些安全挑战?并非一切都会按计划进行,许多企业仍处于成熟DevOps计划的早期阶段。了解应聘者已经看到并必须克服的挑战是了解这些挑战并收集其他成功解决这些挑战的新策略的另一种好方法。这个问题揭示了候选人对安全概念在DevOps模型中的重要性的理解深度。解决问题的能力是任何角色的关键,在需要处理棘手场景的领域尤其如此,例如响应来自业务的安全异常请求。应聘者是接受风险并继续前进的类型,还是他们质疑异常情况并以适当的专业知识在风险和业务需求之间找到适当的平衡点?3.将安全性集成到DevOps中有什么经验?了解应聘者在之前的职位中如何将安全性集成到DevOps中,将有助于面试官向他们学习,并将他们的一些见解和能力应用到组织自己的DevOps流程和生命周期中。候选人可能来自在通过DevOps推动安全性的成熟度曲线上走得更远的企业,这可能对您的企业非常有帮助。相反,如果候选人没有将安全性集成到DevOps中的经验,那就是一个危险信号。越来越多的安全团队正在将安全控制和流程嵌入到DevOps中,因此DevOps求职者应该能够回答这个问题,并举例说明DevOps工具和方法如何提高安全性。这也会让你了解候选人对安全概念的认识和教育,并会帮助你决定是从头开始还是有良好的基础。4.你更喜欢开源工具还是付费工具?对我来说,这个问题的正确答案是表现出一种微妙的情境思维。对于DevOps从业者而言,了解公司的文化、愿景、实践和政策以使用不同类型的工具并为特定用例确定正确的工具非常重要。理想的候选人应该有使用开源和收费工具的经验,了解利弊,并以深思熟虑的方式考虑所有这些,考虑如何根据上述业务目标做出这些决定。例如,您不想听到有人坚持只使用开源工具,因为他们会试图在不合适的地方强制使用工具,这可能会引入新的或额外的安全、合规性和风险问题。5.你认为DevSecOps是数字化转型的推动者还是阻碍者?大多数数字化转型项目进展迅速,为公司带来了新机遇,其中可能包括尖端技术和能力。传统模型往往过于缓慢和繁琐,无法充分支持数字化转型。通过DevOps和自动化可以消除的障碍越多,企业就越能够快速有效地进行数字化转型。也就是说,安全不能是事后的想法。安全主管正在寻找将DevSecOps(提高安全性)视为数字化转型推动因素的合作伙伴。将安全视为数字化转型障碍的从业者可能会与安全团队不断发生冲突。相反,乐于将安全性嵌入到项目中的DevOps工程师和开发人员将能够通过日常流程降低安全风险。总之,虽然当前的就业市场为求职者创造了巨大的优势,但绝对值得寻找具有将安全性集成到DevOps和自动化中的经验的候选人。作为将安全带入企业并使其成为业务推动者的人,您必须寻找将成为您的安全团队的一部分而不是有害的人。
