一千萬個為什麽

搜索

哪些流程支持DevOps工作方式中的軟件供應商/供應商管理?



在傳統的獨立開發和運營組織內部,制定程序和流程以確保軟件供應商和供應商之間的關系得以維持。這些關系的存在使得當例如發現漏洞時,運營團隊能夠識別業務影響並適當減輕。

如果該組織是圍繞ITIL服務管理主體構建的,那麽他們可能會執行以下一項或全部任務:

假設Operations角色在DevOps支持的組織中並不作為單獨的實體存在,組織如何共同或單獨地維護供應商/供應商關系,以便在發生漏洞被公開,團隊可以通過聯系供應商來了解補救和緩解行動。

可以想象,我們可以:

  • 要求所有的Scrum團隊擁有他們的供應商關系並采取相應的行動,這似乎是可擴展的,但是要以整個組織的高額開銷為代價。
  • 維護一個負責這些關系的中心功能,這個中心功能可能沒有跨職能團隊的完整背景。
  • 使用第三方自動化服務掃描基礎架構和應用程序,以維護一個動態庫存,可以評估已知漏洞,但這實際上並未與供應商保持關系,並且僅與已知漏洞的數據庫一樣好。

你使用什麽策略?

轉載註明原文: 哪些流程支持DevOps工作方式中的軟件供應商/供應商管理?

一共有 1 個回答:

既然您參考了您的問題中特別針對漏洞的處理方式,我將就此介紹如何在我們的組織和公司組內處理此問題。

我們有一個負責監視和檢測漏洞的信息安全部門。您可以將此團隊視為對技術信息安全管理負責。使用定期掃描檢測到漏洞時,使用諸如 Nessus 或已發布的,該團隊將這些漏洞傳遞給每個信息安全官員群組。

信息安全官對風險管理負責並負責,其任務是:

  • 制定信息安全政策,標準,程序和指南
  • 提升信息安全意識
  • 完成信息安全評估和審核

在收到有關漏洞的信息後,信息安全官將評估漏洞,確定漏洞的重要性以及它對業務應用程序和環境的影響。這些信息將提交給相應的開發經理。

開發經理對供應商和供應商管理負責並負責。業務應用程序按業務領域分配給各個開發經理。開發經理與供應商和/或他們自己的Scrum團隊合作解決其域名的漏洞。如果需要專家建議,這由信息安全官員提供。

關於你的可能選擇。

  • Scrum團隊很可能缺乏組織影響力來協商並迫使供應商快速解決漏洞。 Scrum團隊本身也不太可能確保所有正確的法律條款已經被納入供應商和供應商合同中,以確保有義務處理特定SLA中的漏洞。
  • 維持一個中央職能應該在某種程度上起作用,然而當你指出他們缺乏完整的背景時。涉及三個不同方面的三層管理將解決這一問題。
  • 第三方自動服務將能夠提醒您存在漏洞,但不一定能夠將這些結果與特定業務應用程序相關聯,並且因此也不會將這些結果與給定供應商或供應商相關聯。您仍然需要個人來管理這方面的問題。