DevOps 在当今的商业环境中起着至关重要的作用,在企业数字化转型过程中,DevOps它可以帮助企业快速实现自动化和创新。DevOps只考虑相关安全风险的缓解和嵌入DevOps只有在过程中才能发挥作用。
本着这种精神,作为 CISO 我会向 DevOps 求职者提出以下五个问题。这些问题的一个共同点是促使人们理解DevOps(或 DevSecOps,注意安全因素)求职者是否认为自己是帮助解决安全风险管理过程的一部分,或者更狭隘地关注项目和 IT 从视角开展工作。
1.DevOps 的安全优势是什么?
完美 DevOps 过程可以解决许多安全风险问题。有一个工程师知道并能清楚地表达这一点,并与您达成共识,工程师将成为安全团队的一员。DevOps 实现的自动化允许在开发过程中建立更多的安全控制,并将正确实施这些控制的责任转移给可能造成风险的开发人员和工程师。认识到这一责任的价值并基于它的求职者,如更好的控制,如健全的配置管理、访问控制、系统强化和资产清单——更有可能使用他们可用的自动化,而不是寻找绕过过程的方法。
2.在 DevOps 你在模型和环境中遇到过哪些安全挑战?
并非一切都按计划进行,许多企业仍处于成熟状态DevOps 计划的早期阶段。了解求职者看到并必须克服的挑战是了解他们的另一个好方法,并收集其他成功解决问题的新策略。这个问题表明求职者对 DevOps 对安全概念重要性的理解深度。
解决问题的能力是任何角色的关键,在需要处理棘手场景的领域尤其如此,例如应对来自业务的安全异常请求。求职者是那种接受风险并继续前进的人,还是他们质疑异常,并用合适的专业知识在风险和业务需求之间找到适当的平衡?
3.将安全融入 DevOps你有什么经验?
了解求职者如何将以前职位的安全融入 DevOps 有助于面试官向他学习,并将部分观点和能力应用到组织自己的 DevOps 流程和生命周期中。求职者可能来自一个在通过 DevOps 在安全成熟曲线上走得更远的企业可能对你的企业很有帮助。
相反,如果求职者没有将安全融入 DevOps 经验,这将是一个危险信号。越来越多的安全团队将安全控制和过程嵌入 DevOps因此 中DevOps 求职者应该能够回答这个问题并举例说明 DevOps 如何提高工具和方法的安全性。
这也可以让你了解求职者对安全概念的理解和教育,并帮助你确定是从零开始还是有良好的基础。
4.你喜欢开源还是收费工具?
对我来说,这个问题的正确答案是表现出微妙的情境思维。DevOps 对于从业者来说,了解公司的文化、愿景、措施和政策对于使用不同类型的工具用例的正确工具非常重要。
理想的求职者应该有使用开源和收费工具的经验,了解其优缺点,并考虑如何根据上述企业的目标做出这些决定。例如,你不想听到有人坚持只使用开源工具,因为他们试图强制提供不合适的工具,这可能会引入新的或额外的安全、合规和风险问题。
5.你认为 DevSecOps 是数字化转型的推动者还是阻碍者?
大多数数字化转型项目进展迅速,可能包括前沿技术和能力,为公司带来了新的机遇。传统模式往往过于缓慢和繁琐,无法完全支持数字化转型。DevOps能够消除自动化的障碍越多,数字化转型能够快速有效地进行。
也就是说,事后诸葛亮不能安全。安全主管正在寻找将军DevSecOps(增加安全性)被视为数字转型推动者的合作伙伴。那些将安全视为数字转型障碍的从业者可能经常与安全团队发生冲突。相反, 愿意将安全嵌入到项目中DevOps 工程师和开发人员将能够通过日常流程降低安全风险。
简而言之,尽管目前的就业市场为求职者创造了显著的优势,但它已经找到了将安全融入的能力DevOps 和有自动化经验的求职者绝对值得。作为一个将安全引入企业并成为业务推动者的人,你必须找到那些将成为你安全团队的一部分而不是有害的人。