安全和DevOps团队之间的误解可能使组织面临业务风险从物理和财务风险到战略和运营风险,当今的企业被风险包围。企业和员工必须就这些风险进行沟通,这反过来将促进企业的团结。这种沟通需要IT、安全和DevOps的协作。这些团队应该清楚地了解应用安全与业务风险波动之间的联系,这将进一步明确他们在应对安全风险方面的职责。相反,沟通不畅会使整个企业面临风险。倾向于聘请DevOps人员的企业,通常追求高投入产出比、持续的内部创新、对客户响应度的高度敏感。大多数领导团队最害怕的是竞争对手的创新和进步,以及因疏远他们本应抓住的客户而造成的销售损失。因此,安全团队的话语权远不如DevOps团队,更不用说阻止后者了。即使在最好的情况下,安全团队也只能对他们产生一些影响。安全团队要想与商户、开发维护人员进行有效沟通,就需要了解应用安全与企业面临的风险波动之间的关系。如果实现这一点,安全团队将在信息风险问题上拥有更大的发言权。但是,如果忽视这些风险,组织就会出现各种安全问题,团队的地位也会受到影响。避免通信失败的第一步是了解开发团队不需要的安全措施。一些***实践指南不尊重技术现实,比如“加密数据库中的所有数据”,这样的指南显然是不实用的。标准应该适用于应用程序并且对开发团队来说是可行的。缺乏开发经验的安全团队经常掉入这个陷阱。除此之外,在执行安全测试时缺乏漏洞信息管理会造成很多危害。检测工具会产生误报,虽然这些漏洞被识别出来,但这些“漏洞”并不反映系统或软件中的真正弱点。工具还可能误报检测到的漏洞的严重性,导致不合理的优先级排序。在与DevOps团队沟通时,漏洞的误报会浪费时间并降低安全团队的可信度。最终结果:传达缺乏兼容性,或创建未修复错误的日志。最坏的情况:开发团队将时间浪费在不起作用的补丁上。应用程序安全性通常难以捉摸,因此许多开发团队都在努力了解自己的漏洞。如果他们不认识到这些,他们将无法正确评估漏洞的风险并知道如何解决这些漏洞。兼容性和支持是开发团队成功的关键。开发运维团队和安全团队之间需要沟通什么?安全团队在与开发者沟通漏洞时,必须保证漏洞真实存在,并得到准确评估。安全团队对漏洞影响的解释,会让开发运维团队更加清楚。有针对性的修复建议很关键,尽可能匹配开发团队使用的语言和框架。这样可以更轻松地解决问题,可以更快、更有效地修复错误,并缩短错误修复的周转时间。目标明确的错误修复也更容易一次成功。安全团队还可以提供有关漏洞处理和合规性的宝贵指导。一旦漏洞受到惩罚或服务被关闭,开发团队需要及时获取这些漏洞的信息,并尽快进行修复。除了漏洞,安全团队还可以就系统架构建议进行进一步沟通,以更好地设计应用程序并减少系统因合规性要求而受到的限制。例如,将信用卡相关事务委托给受信任的第三方可以避免对系统进行非PCI-DSS合规性评估的需要。另一个例子,不存储非必要的个人身份信息(PII)以避免手动管理数据的风险。营销人员通常希望存储所有可访问的数据,但系统设计人员需要了解存储过多数据对隐私和安全的影响以及随之而来的风险。安全和DevOps团队之间的误解使企业面临风险。当与业务风险相关的应用安全已经影响到业务时,安全团队应该出面沟通。如果安全团队能够从品牌、财务、战略等方面进行风险评估,那么他们将成为DevOps团队最可靠的拥护者,帮助DevOps团队构建和维护安全系统。【本文为专栏作家李少鹏原创文章。转载请通过平安牛获得授权(微信公众号id:gooann-sectv)】点此查看该作者更多好文
