一千萬個為什麽

搜索


I'm coming from the dark side, compliance, and am looking to gain better knowledge on DevOps & how to implement SOX controls on these processes. I'm hoping to build a good knowledge base in order to be able to recommend controls that will provide good assurance to the auditors while minimizing the impact on the actual operations. Also, so that when I meet with our internal DevOps teams, I can speak knowledgably on this.

我通過ISACA白皮書和其他各種來源做了一些研究:

對於構建DevOps工作流程控制框架的資源,您有任何其他建議嗎?或者只是DevOps?

轉載註明原文: DevOps SOX合規性

一共有 1 個回答:

您正在尋找的是容器的合規性和安全性。有些公司可以為您開箱即用,即使我不提倡,您也可以看到他們提供的產品並將其用作模板。

https://www.twistlock.com/platform/container-compliance/ https://www.aquasec.com/use-cases/container-auditing-compliance/

作為HIPAA安全官和DevOps經理,我一直在審查這些流程。在您的意義上思考DevOps的方式可能是船舶的自動化和文化快速,早期失敗和經常失敗。目標是不破壞管道的安全性和合規性。從技術上講,這似乎是在上線之前,期間和之後在管道中添加自動合規性檢查。隨著自動化的建立,您可以用手動過程替換自動化。您可以查看DevSecOps等主題,這與確保合規性的概念相同,可能更接近您需要做的事情。

here's an AWS diagram that might help https://aws.amazon.com/blogs/devops/implementing-devsecops-using-aws-codepipeline/