一千萬個為什麽

搜索


首先,當我聽到SecOps這個詞時,我認為它是一種旨在連接安全和運營團隊的管理方法,就像DevOps統一開發人員和運營團隊一樣。

但是,安全僅僅是DevOps難題的一部分嗎?
DevOps已經包含組件監控,版本管理,基準測試,代碼審查,持續監控等流程。

SecOps還能為DevOps團隊添加什麽其他功能?或者它可能是另一個流行詞嗎?

轉載註明原文: 什麽是SecOps?

一共有 2 個回答:

我同意這是一個和Devops一樣多的流行詞。

在通常的運營工程師任務之上添加SecOps的主要任務是承擔遵循CVE發布源,處理補救措施的負擔,通常處理歷史上由安全或網絡管理團隊處理的事情(防火墻規則,Web應用程序防火墻例外)

如果您在devops組織中看到一個系統管理員作為系統管理員能夠讀取並成為應用程序代碼的一部分,則SecOps將是一個系統管理員,能夠成為服務器本身基礎架構安全規則的一部分。

在某些保持職責(銷售,業務,開發,運營,安全,監控)的架構中,安全工程師和運營工程師與開發人員和運營工程師是分開的,而不是擁抱完整的DevOps組織,轉而使用SecOps模型是第一步是在筒倉型組織中重新組合兩個分離的團隊,這兩個團隊歷史上較為接近,對立較少。有些人也更願意在他們當前的工作中添加操作或安全方面,而不是增加代碼技能。

總而言之,我將SecOps定義為向devops組織邁出的第一步,旨在讓安全/網絡/操作系統工程師獲得一個多技能團隊,他們是現有部門中的獨立團隊。

我同意 Tensibai的回答,因為SecOps與DevOps本身一樣熱門詞匯,SecOps是一個孤立的組織和有凝聚力的組織之間的墊腳石。

我觀察到另一方面也是事實,也就是說,如果您有一個使用DevOps模型運營的組織,使用DevOps工作方式和遵循DevOps Practice,他們可以委派SecOps角色中的某個人來整合 IT安全練習到模型中。

通常這被稱為DevSecOps或DevOpsSec,以便橋接所有三個學科。

進一步閱讀:

以上我正在閱讀吉姆伯德的書,很高興與主辦方合作以前擔任DevSecCon的職位,並且去年參加了阿姆斯特丹的Velocity Session。