Модель DevOps не есть угрозой безопасности; это – инструмент, что может употребляться для приведения в выполнение безопасности очень прежде.«Дело в том, что это, в случае если мы наблюдаем на уровень тестирования безопасности, DevOps, есть мечтой безопасности», сообщил Могалл. «Это – отечественный летающий автомобиль.
У нас ни в коем случае не было лучшей способности встроить безопасность в отечественные организации».В модели DevOps кодовые трансформации не внесены на рабочем производственном коде, а скорее в части разработчика конвейера. Могалл заявил, что в модели DevOps все подвергнуто аудиту, протестировало и записало, перед тем как любой код входит в производство.«Вы не исправляете никого из собственных рабочих серверов; Вы создаете новое главное изображение, из которого удирают все экземпляры, и после этого Вы лишь начинаете отключать неисправленные экземпляры», сообщил Могалл. «С DevOps Вы больше не исправляете; Вы на месте».
Идя ход вперед, Mogull предполагает, что DevOps кроме этого воображает возможность для безопасности для становления частью развития и операционной модели. Применяя способы DevOps, тестирование безопасности возможно встроено в процесс, что разрешает коду быть продвинутым к производственной деятельности.Неприятность контакта с разрывом между развёртыванием и развитием есть той, которую находящаяся на стадии становления практика, известная как DevOps, пытается решать. Могалл растолковал, что DevOps есть по существу практикой перекрывающегося операций и развития в связный и интегрированный процесс.
Не обращая внимания на то, что Могалл весьма восторжен по поводу охвата модели DevOps для безопасности, он кроме этого осознаёт, из-за чего кое-какие специалисты не могли бы решиться применять его. Так как модель DevOps высоко автоматизирована, она требует, дабы эксперты по безопасности имели что Могалл, именуемый trustable автоматизацией безопасности. Исторически, Могалл сообщил, эксперты по безопасности должны были сделать много элементов безопасности, тестирующей вручную, но это больше в обязательном порядке должно иметь место в модели DevOps.
«Проблема состоит в том, что по собственной природе, безопасность есть довольно часто реактивной», сообщил Могалл. «Мы не управляем отечественной судьбой, и мы должны обезопасисть новый материал все время».Кое-какие усовершенствованные практики DevOps больше кроме того не исправляют их живые рабочие серверы. Вместо этого Могалл заявил, что с DevOps, совсем новая платформа возможно выставлена, в то время, когда патчи нужны, вместо того, дабы исправить живую, платформу запуска.
Новая всецело исправленная платформа возможно запущена, тогда как существующая неисправленная платформа, все еще живут, и после этого услуги смогут быть перемещены, в то время, когда готовый.«Кое-какие организации, с которыми я тружусь, практически отключили доступ SSH к их рабочим серверам», сообщил Могалл. «Из-за чего? Потому, что это – нарушение защиты, и Вы повреждаете конвейер при внесении трансформаций на рабочих серверах».
Поверх безопасности, довольно часто являющейся реактивной деятельностью, Могалл прокомментировал, что большое количество IT-организаций против трансформации, поскольку их среды уже весьма сложны. Кроме этого, он заявил, что знает о многих организациях, каковые желают обновить как возможно меньше, которое ведет к второму комплекту неприятностей.
Не обновляя систематично, довольно часто существует разрыв между развертываемыми приложениями и теми, каковые работают разработчики.«Никто ни в коем случае не вносит изменение на живом сайте, и все трансформации внесены в конце развития», сообщил Могалл. «Это активизирует отечественные циклы развертывания, уменьшает неточность и усиливает возможность стремительного реагирования бизнеса».
Могалл сказал, что с DevOps фундаментальные управления и аудита основные принципы безопасности не изменяются. То, что вправду изменяется, – то, как аудит безопасности реализован в организации. В модели DevOps, среда разработки приложений синхронизируется, непротиворечивая и автоматизированная. Кроме этого, нет разрыва между производством и развитием.
«Так, если Вы вносите изменение, и оно передает все автоматизированное тестирование, код может войти в производство», сообщил Могалл. «В случае если что-то в сбоях продукта, Вы имеете возможность откатывать в последнее известное хорошее государство».ТОРОНТО – для многих организаций обычный подход к реализации безопасности как функция устройства, повышающего характеристики, по окончании развития. На конференции по безопасности SecTor в Торонто CEO Securosis и аналитик Рич Могалл растолковали, из-за чего развивающийся мир DevOps может радикально переделать, как безопасность встроена в разработку ПО и процесс развертывания.Шон Майкл Кернер есть главным редактором eWEEK и семь дней.com.
Следуйте за ним в Твиттере @TechJournalist.