百年老店FitchRatings成功升级到DevSecOps，遇到了哪些挑战？_0

【.com速译】MirAli在2015年加入FitchRatings时，由于软件堆栈不可靠，该公司已经在谈论改变软件流程。惠誉评级是一家金融公司，与穆迪和标准普尔一起，是美国证券交易委员会（SEC）认可的三大国家级统计评级机构之一。现任Fitch共享服务总监的Ali表示，将一家百年老店转向DevSecOps（开发安全运营）并非易事。但现在不能再忽视存在的问题了。他说，人们基本上不了解生产环境中会发生什么。故障太多无法溯源，整个流水线上下缺乏配合。当事件发生时，没有人知道为什么会发生，也不知道该怎么办。标准程序是重新启动数据库服务。这在受SEC监管的公司中显然是不可接受的。主要挑战一个挑战是普遍缺乏安全知识。另一个挑战是缺乏合作或对个人责任的理解。***自动化程度不够。一开始，有太多事情要做，很难确定优先顺序。团队坐下来从长远考虑他们想要什么，这个愿景指导他们所有的后续决策。他们决定将消除安全漏洞作为优先事项。其余任务分为三个领域。他们希望确保整个开发过程的安全性，并在整个公司内标准化这一过程。***，他们想尽可能地简化流程。简而言之，Ali说，DevSecOps将DevOps协作的范围扩大到包括安全性。devsecops.org声称：“DevSecOps的目的和意图是基于‘每个人都对安全负责’的想法，目的是在不牺牲所需安全性的情况下尽快在最高级别做出安全决策。”在整个开发过程中使用安全性Ali表示，关键是将安全性集成到DevOps管道中，从而使安全性成为整个软件开发过程中不可或缺的一部分。图1：Fitch的DevSecOps管道中的安全检查点管理团队最初在每个团队中安排了安全专家，因为他们打破了DevOps管道中的孤岛。“让他们觉得自己是团队的一员，倾听他们的意见，运用他们的技能。让这成为自动化的一部分，”他说。安全专家为您提供上下文、提供专业知识、了解安全风险以及我们需要注意什么。安全成为每个人的工作。接下来，他们部署了安全工具。“这不仅仅是关于工具，你部署使安全成为可能的工具，”阿里说。例如，良好的仪表板和自动化是关键。为了确保持续交付管道的安全性，适当的访问控制、构建系统的严密保护以及一致的命名约定是一些优先事项。他们从唾手可得的果实开始。雅虎的数据泄露是由于有人克隆了它的数据库，因为它的系统没有适当的密码保护。他说，应该避免这种情况。所以第一步是，默认情况下，没有人可以访问。必须授予权限，并且它是完全基于角色和自动化的。“加密一切”是新的口头禅。洞察管道是另一个关键方面。Ali建议：“确保日志条目一目了然。”很多日志看起来像乱码，这对故障排除没有帮助。设置安全检查点一旦基本的整体安全性到位，他们就开始为管道设置自动安全检查点。“如果系统没有通过，工程师会关闭系统，说‘我稍后会处理’，但他们从来没有这样做过。“通过自动化检查点，你不会给他们这样的机会。他们使用Gauntlt，这是一种让用户专门为安全编写自动化测试的工具。”图2：Fitch的DevSecOps管道当Ail加入时，工程师们一直在部署扩展数据规模的解决方案，但每个团队都是独立工作的，因此部署了多种解决方案，工程师们得到了一大堆不同的选择。过了一段时间，工程师们为管道的每个部分选择了一个满足要求的解决方案。该领域的最新解决方案并使其成为标准。类似于PagerDuty自己的DevOps转型，这个项目大概用了三年时间DevSecOps神话Ali说DevSecOps中有几个神话需要被揭穿。提供一致性和可追溯性。下一个神话是你可以简单地通过添加安全工具来构建DevSecOps。关键是不添加新工具，而不是添加更多的开发人员。他是帮助DevSecOps不是一种能力，而是一种概念。“你可以在现有开发人员的帮助下轻松完成这项工作。”让安全成为他们工作的一部分，成为绩效评估的一部分。从哪儿开始？还是不知所措？答案是从小处着手。阿里从电子邮件集成开始，慢慢添加工具，开始打破孤岛，改变预期目标。电子邮件集成完成后，该公司开始使用PagerDuty的警报服务，这促使该公司集成了Atlassian的Jira错误跟踪系统，通过日志记录和智能监控集中整个管道。三年后的今天，他们已经能够在故障发生之前发现隐患。开发者面临的最大挑战你得站在开发者的角度去思考。如果你告诉他们，你要实现自动化，你要使用DevOps工具，现在你说“还要纳入安全性”，从他们的角度来看，突然间出现了三个工作，而不是一个。“因此我会讨厌那样的工作，”阿里说，所以他加入了公司，积极提供指导和支持。他告诉团队，他们提供培训、工具和框架，并支持开发人员的工作。看到大部分工作已经完成，开发团队意识到他们必须充分利用自动化。现在，没有人检查代码，每个人都自然而然地完成工作。部署不再是问题。“仍然存在挑战，但我们已经为他们开辟了一条道路，让他们开始采用DevSecOps，”他说。***提示：“你需要知道你把数据放在哪里，弄清楚那里有什么，如何检查它，”他说。数据，谁与数据交互，以及数据如何受到保护。”“除非你提出这些问题，否则你的应用程序和数据是不安全的。”原标题：100-Year-OldFitchRatingsUpgradestoDevSecOps，作者：TCCurrie【译稿，合作网站转载请注明原译者及出处.com】