《Devsecops 实施指南(中).docx》由会员分享,可在线阅读,更多相关《Devsecops 实施指南(中).docx(19页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、DevSecOps 实施指南在团队支持下逐步实现自动化安全检查自动化听起来对一些高管和财务人员很有吸引力;他们听到“自动化”就会想到 “通过削减工作人员的人数来节省资金”。这种观点对于争取开发者的支持是适得其反的。当你从DevOps转移到DevSecOps时,在自动化和安全之间有一个微妙的平衡。分析你的 DevOps工具链中已经有哪些自动化工具,并确定它们是否支持安全集成。然后,你可以从那里 建立你的自动化战略。与你的团队合作,他们将在实施的每个步骤中从自动化中受益。你要为 你的团队传达一个前进的方向,并平息任何关于因DevSecOps而失去工作的在家工作的焦虑。防止开发人员超负荷工作当你在开
2、发人员现有的工作量上增加安全贡任时,你就有可能造成他们的超负荷工作。毕 竟,我们刚刚进入一个对开发者友好的应用安全工具进入市场的时代。当今有太多的应用安全工具是为安全团队设计的,在安全团队将他们的发现提交给开发团 队进行补救之前,往往需要几个小时甚至几天的时间。这就需要你的领导层把工具、培训和框 架落实到位,以帮助防止开发人员超负荷工作。最后的想法踏上DevSecOps的快车道意味着要照顾好你的员工,在他们担忧自动化的时候主动出击。 当团队在实现转型的过程中发挥积极作用时,他们会从DevOps到DevSecOps的转型中受益。遵循DevSecOps成熟度模型DevSecOps在很多方面是企业D
3、evOps成熟度的另一个层次。高层管理人员和其他利益相关 者了解成熟度模型的概念,使其成为解释这一转变的价值的有益方式。遵循成熟度模型还可以 帮助你讲述一个故事,包括从DevOps到DevSecOps转变过程中的人员、流程和技术变化。以下是DevSecOps成熟度的四个典型水平。第一级:开发前(无自动化)在这个层面上,开发人员手动执行每一项任务,包括创立和测试应用程序和系统。团队管 理、流程和应用安全仍处于非常临时的水平。采取额外的措施来记录你的经验教训和你的前DevOps开发时代的挑战。你需要了解你的 历史,这样你就不会在未来重复它。第二级:早期的DevOps/DevSecOps (轻量级的
4、自动化)开发团队对某种形式的DevOps工具链进行标准化,以实现基础设施即代码和合规即代码。 DevSecOps的采用是在部门或甚至只是在团队层面。在这个阶段交替提及DevOps和 DevSecOps是故意的。一些组织会从传统的瀑布式开发直接快进到DevSecOps模式。在第二层次,DevOps/DevSecOps和轻量级自动化是创新和更有前瞻 性的开发团队的领域。开发人员被驱使寻找更好的方法来做事,这可能是他们自己主动的结 果,也可能是因为客户要求采用DevOps方法。从第二级到第三级取决于与你的组织的其他成员交流和推销你的DevSecOps的早期采用者 的成功经验。要确保与早期采用者保持联
5、系,并鼓励他们与其他同行提供他们在DevOps和 DevSecOps方面的成功。早期的成功故事比管理者的命令更容易引起共鸣。第三级:DevOps向DevSecOps过渡(高级自动化)DevSecOps成长为一个企业或机构范围内的战略。在整个组织的支持下,应用程序和基础 设施的开发和管理的自动化战略已经形成。DevOps团队现在可以使用容器、Kubernetes和公 共云服务来改善他们的现有流程一句话。处于DevSecOps成熟度这一高级阶段的组织正在大规模地部署应用程序。第四级:完全的DevSecOps (完全自动化)对于所有的企业来说,这样的DevSecOps成熟度专家状态是难以企及的,除非
6、是那些最著 名和资金充足的企业,那些必须经常满足最严格的网络安全和合规要求的企业。到达这种成熟 度的企业首先是API和云原生的。这些组织也在实施微服务、无服务器和人工智能/机器学习(AI/ML)等新兴技术,以加强其应用开发和基础设施的安全性。最后的想法只有当你跟踪你的流程、团队文化和工具的成熟度时,你才能对你的组织在DevSecOps方 面的进展获得最正确的当前和未来状态的看法。在过去的18个月里,疫情把许多团队推向了远 程工作。因此,团队必须使他们的流程迅速成熟,以确保他们的组织仍然能够向客户提供服务。 DevSecOps汇集了文化、协作和工具链方面的改进,而这些改进正是开发团队在新的工作环
7、境 中交付安全和合规的软件所需要的。启动DevSecOps转型的3个阶段DevSecOps是你的组织在DevOps旅程中的另一个步骤。将你的转型分成几个阶段,有利 于直接与开发人员和其他团队成员合作。分阶段的方法也允许你从受变化影响的人那里获得 反响,并在必要时进行迭代。以下是DevSecOps转型的前三个阶段。第一阶段:分析、教育和培训在第一阶段,你要做一些必要的初步工作,使DevSecOps成为你DevOps旅程中的下一 步o如果你从瀑布式的软件开发生命周期(SDLC)模式中转移出来,那么这个阶段对你的 团队来说就更加关键。实现这一飞跃可能需要你在DevOps培训上投入更多的时间和精力,以
8、 弥补你当前流程和DevSecOps之间的知识差距。分析你的开发过程的成熟度 无论DevSecOps只是你的DevSecOps之旅的下一步,还是你从瀑布式SDLC中直接进入DevSecOps的最初尝试,分析你的软件开发过程的成熟度是一个关键步骤。一个有效的分析 包括:1、记录任何过程的现状2、收集关于你当前开发过程的任何报告数据3、通过采访主要开发人员,确定你的开发过程中哪些是有效的,哪些是无效的为你的组织定义DevSecOpsDevOps和现在的DevSecOps文寸人们来说可能意味着很多东西。软件供应商的营销和开放 源码软件(OSS)社区都对DevOps的定义做了自己的解释。DevSecO
9、pSo让你的团队免受任何误解,并记录下你对DevSecOps的定义。一个清晰的 定义包括1、DevSecOps对你的组织意味着什么2、转向DevSecOps后的预期结果3、你的组织正在实施的工具和程序,以确保员工的成功撰写定义不仅仅是为你的DevOps向DevSecOps的转型创立一个工程章程,它还能确定 你的真正方向。培养一种DevSecOps文化 你不能购买DevSecOps。你的经理和关键的技术团队成员需要 共同努力,培养DevSecOps的文化理念,为你的DevOps向DevSecOps转型打下基础。这里有一些 DevSecOps文化的重要元素,在你的转型过程中和转型后都很重要。持续反
10、响远程DevSecOps团队在持续反响方面有其优势和劣势。经理的角色不是简单 地对DevSecOps团队的表现提供反响。相反,反响的目的是使团队能够更有效地合作。开源聊天 工具为DevSecOps团队的实时协作提供了必要的即时沟通。基于容器的架构DevSecOps为转向基于容器的架构创造了条件,这可能是DevOps团队 的又一次文化变革O容器的正确和强大的实施改变了开发人员和运营文化,因为它改变了架构师设计解决方 案的方式,程序员创立代码,以及运营团队维护生产应用程序。团队自主性DevSecOps在你的组织的任何层面上都不允许有微观管理者。DevSecOps文 化的一个标准局部是使你的团队能够
11、选择他们的工具,并根据他们的工作来创立流程。DevSecOps还提 倡分布式决策,支持更大的灵活性和创新。Devsecops培训为你的开发者提供安全培训是使安全成为每个人工作的一局部的另一个 步骤。培训可以采取内部开发人员培训的形式,以休闲形式进行,例如午餐学习,或者包括由你的组织 的培训部门进行的更正式的培训课程。根据你的安全目标(和预算),总是可以选择让你的DevOps团队成员获得DevSecOps 供应商的认证,例如 DevOps Institute 的 DevSecOps Foundation 认证或 Practical DevSecOps 的认证 DevSecOps Professi
12、onal (CDP)。第二阶段:将安全融入你的DevOps生命周期中在DevOps向DevSecOps转型的第二阶段,你将安全流程和工具整合到你的DevOps生命 周期中。如果你的企业已经在使用DevOps工具琏,这个阶段将安全工具整合到你现有的 DevOps工具链中。这个阶段也是对你的持续集成和持续交付/部署(CI/CD)工具链进行安 全审计的时候,以确保安全。假设你的组织从瀑布式SDLC或其他传统的开发过程中走上了 DevSecOps的快车道。在 这种情况下,安全需要成为你的CI/CD工具构建的一个要求。第三阶段:将自动化引入你的DevOps生命周期中自动化阶段包括分析、推广和实验。将自动
13、化应用于日常软件开发任务,如质量保证 和安全检查,并不是一门精确的科学。期待你的高管和开发团队之间的推拉关系。高管们 往往希望尽可能多地实现自动化,甚至到达极致。开发人员和系统管理员会更谨慎地对待 自动化。自动化是DevSecOps的基础,因为它消除了一些日常构建任务和安全检查中可能出现 的人为错误。如果你正在构建和运行云工作负载,你需要自动化。自动化工具实施的好坏决定了你能多有效地执行安全实践和促进安全签收。这里有一 些将自动化引入你的DevOps工具链的提示。1、在你的管理层和利益相关者中消除这 样的观念:你将能够与你的工具链一起将每项任务自动化。与你的利益相关者接触,了解他们的自动化优先
14、事项,并将这些反响纳入 你的DevOps团队的自动化战略。2、与你的开发团队接触一不仅仅是团队领导和经理一讨论自动化如何帮助他们完成工 作。用同理心倾听他们的关切,用明确的答案回答他们的问题。3、创立一个自动化路线图,标明你将如何把自动化引入你的工具链。从小处着手,在 你的工具链中扩展自动化。寻求一个小工程,如一个补丁或功能更新,以测试你的实施计 划。4、为你的一个DevOps团队自动化构建、质星保证或安全检查,作为一个概念验证项 目。记录你在这个小工程中的发现,特别是所学到的经验和在该工程中工作的DevOps团队 成员的任何其他反响。5、向你的利益相关者和内部DevOps社区传达成功的经验、
15、教训,甚至是试点工程的 错误。你可以利用你现有的DevOps卓越中心或将DevSecOps卓越中心作为一个机会,从整 个 组织的员工那里收集关于自动化如何影响他们工作的意见。否那么,在你的开发和运营 组织 中寻找正式和非正式的渠道来获得投入。例如,根据你的企业文化,非正式的午餐 和学习、 小组聊天频道或团队会议可以是收集意见的理想选择。DevSecOps转型的另外3个阶段进行重大的运营转型必须是一个长期的、精心筹划的过程。因为DevSecOps是你的组 织在DevOps旅程中的重要一步,如果你分阶段引入和实施你的转型,你更有可能找到成功。在我之前的文章中,我解释了进行这一变革的前三个阶段。本文
16、介绍了 DevSecOps转型 的另外三个阶段,你必须通过这些阶段来实现你的目标。完成这些阶段需要你促进团队合 作,使你的组织通过安全变革,启用DevSecOps,并将工具落实到位,以便不断学习和迭代 你的DevSecOps工具链和流程。第四阶段:合作对你的DevOps工具链进行安全修改迁移到DevSecOps上的一些安全变化可能会对运营甚至安全合规性产生不利影响。工 具、流程、甚至人员配置的变化有时会改变团队的工作方式。你的开发、运营和安全团队必须在部署前和其他接触点上进行合作,以确定优先 次序。安全团队有时会优先考虑对运营有不利影响的安全措施。同样地,你的开发人 员可能会忽略一些由系统配置
17、造成的漏洞,这些漏洞可能会损害你的系统的安全性和 合规性。部署前审查提供了一个主要的合作渠道。当你在从DevOps到DevSecOps的转变过程中 进行预先部署审查时,你给你的开发人员和安全人员提供了一个论坛,他们可以通过这个 论坛相互了解团队的优先事项和知情权衡。第五阶段:在DevSecOps上执行当你的组织跨入DevOps向DevSecOps转型的第五阶段时,是时候用一个或多个团队 来 执行你的计划了。不要将整个组织转移到第五阶段。相反,在你的工程团队的日程安排中寻 找自然的突破口,让他们转移到DevSecOps模式。例如,假设你的一个DevOps团队刚刚发 布了一个新的产品。在集体休息之
18、后,他们正在处理从现场传来的错误修复。在一个正在进 行的工程中,不要用全面转向DevSecOps来打断他们的工作。寻找新的工程机会,开始执行DevSecOps。这样的方法具有以下优势。1、为团队提供 一个干净的环境,让他们从一开始就学习新的流程,而不是在工程的中期。2、使你能够将流程和工具培训作为工程启动过程的一局部。3、提供机会让你的开发人员、操作人员和安全团队一起讨论对工程的共同期望。4、让团队有机会学习在DevSecOps给企业带来的新工作流程中更好地合作。第六阶段:追求持续学习和迭代从DevOps到DevSecOps的转变并没有正式结束。在你的组织转向DevSecOps并采用其 原那么
19、和基础后,学习和迭代需要在转型后继续进行。由于行业内没有一个公认的DevSecOps定义,随着你的DevSecOps之旅获得动力和流程 的成熟,你可以期待学到很多东西。你还需要为你的组织准备好DevOps和DevSecOps理念的 变化,这些变化可能会对你的内部努力有所帮助。最后的想法我在这个系列中概述的阶段是实现DevSecOps转型之路的一般准那么。强调协作是有意的, 因为你的企业的特殊情况可能需要你修改这些阶段来实现你的转型。即使你需要对这些阶段 进行实质性的修改,有一个分级的实施路线图也会让你更接近成功。目录DevSecOps: 一个开源的故事4启动从DevOps到DevSecOps的
20、转型7让DevSecOps的成为团队采用的4个步骤9遵循DevSecOps成熟度模型11启动DevSecOps转型的3个阶段13DevSecOps 转型的另夕卜3 个阶段16Will Kelly是一名产品营销人员和作家。他的职业生 涯中一直在撰写关于云计算和DevOps的署名文章、白 皮书、营销资料和技木内容。Opensource. com TechTarget InfoQ 等都发表了他 关于DevOps和云的文章。他在北弗古尼亚地区生活和 工作。在Twitter上关注他:willkellyDevSecOps: 一个开源的故事最近的供应链违规事件,加上拜登总统的新网络安全行政命令,使人们重新关
21、注 DevSecOps对企业的价值。DevSecOps将文化变革、框架以及工具代入了开源软件(OSS)中。 如果想要了解DevSecOps,那么需要提前了解它与开源软件的关系。什么是 DevSecOps?最直观的来讲,DevOps (开发运营一体化)是一种在软件交付生命周期中,打破编程人员 和系统运维人员之的间隔阂的方法。DevSecOps,将安全添加进了 DevOps进一步细化这种概念:通过自动化解决代码质量、安 全性和可靠性的保证,从而实现“持续安全”和“合规性”。除此之外,让组织遵守萨班斯-奥克斯利法案(SOX)、支付卡行业数据安全标准(PCIDSS) FedRAM等也是实现DevSec
22、Ops的一种方案。(读不懂请看下面的例子)举两个例子:如果一个联邦政府机构需要符合DedRAMP合规性,那么他应该使用 DevSecOps,因为DevSecOps可以使得该机构在软件开发过程中的每个阶段都能实现安全自动化。同样的,一个用作处理个人敏感信息的健康机构为了符合HIPAA要求,他需要使用DevSecOps。在开 发过程中,您越早能把安全缓解措施左移,能节省资金消耗就越多。此外你还可以防止潜在的负面问题,因为在开发环境时,就已经经过了安全检测,所以您的团队不必对生产 中的问题做出响应,在生产环境中,补救本钱可能会比您在开发环境中发现的问题高得多。DevSecOps可以被理解为DevOp
23、s的另一个阶段,更可以被理解为对你的开发组织和整体业 务的一次转型。以下是一个典型的框架:1、分析、沟通、教育:(1)分析您开发过程中的成熟度;(2)为您组织定义DevSecOps; (3)培养一种具有持续性的反响和互动、团队自主性、自动化和架构的 DevSecOps 文化。2、在DevOps生命周期中集成安全:确保您的DevOps和安全团队一起工作。3、在DevOps生命周期中引入自动化:从一个小型开发工程开始,逐渐扩展您 的自动化策略。4、在DevOps工具链中加入可协作的安全因素:让安全和开发团队一起开展工程、 强化DevOps工具链。5、执行DevSecOps:让您的团队充分参与您的D
24、evSecOps工具链和新流程。6、鼓励持续学习和集成:为开发人员和系统管理人员提供持续提供培训和反响的机制, 以强化开发人员的能力和工具链和健康。我们正处于软件开发历史上的一个独特时刻,提高安全性和加快软件开发速度的 需求正处于十字路口。尽管DevOps在提高速度方面做了很多工作,但仍有更多工作 要做。DevSecOps的增长DevSecOps的开展在合规性和安全意识的领域是显而易见的。例如,它在具有安全意识 的美国国防部中拥有越来越多的追随者。像Platform One这样的工程为DevSecOps实践如 何在最注重安全的政府任务中保护开源和云技术树立了典范。根据 Gartner 的Hyp
25、e Cycle for Agile and DevOps, 2020,DevSecOps 在行业内的 渗透率为20%至50%o随着企业将应用开发转移到云端,这种流行趋势已经成为DevSecOps 的催化剂。DevSecOps的挑战即使您将DevSecOps视为您DevOps实践中的另一个过程,您也可以预期您的工具链、您的 DevOps和安全团队中的角色以及您的团队如何交互的变化。根据GitLabs 2021 Global DevSecOps Survey显示,超过60%的受访者报告了因为 DevOps的影响,自己的“角色和责任发生的变化”。所以需要让您的团队提前做好应对这种变 化的准备,从而把
26、意外降到最低。如何提前做准备呢?您可以采用各种开源的DevSecOps工具 建立您的DevOps管道。其中包括:1、Alert:整合、并去重各个来源的警报来提供警报,快速可视化。它与Prometheus、 Riemann. Nagios和其他监控集成开发人员的工具和服务进行集成。您可以使用Alerta自定义警 报,以满足您的要求。2、StackStorm:提供基于事件的自动化,并提供脚本话的不就和相应。一些用户亲切称之 为“运营的IFTTT”。3、Granfana:允许自定义仪表板,汇总并可视化所有相关数据、查询安全数据。4、OWASP Threat Dragon:基于网络的工具,提供系统图和
27、规那么引擎,用以自动建模和缓 解威胁该工具拥有易于使用的页面、可与其他软件开发工具实现无缝集成。DevSecOps就像DevOps所做的一样,带来了一种文化。培养DevSecOps文化就是将安全放在 首位,并让每个人都参与其中。DevSecOps组织需要超越强制性的公司范围内的在线安全培训, 通过预设对话将安全性引入开发和业务流程。Devsecops和开源风险缓解企业甚至政府机构使用了多达90%的开源代码。这有时会在单个应用程序中占用数百个离散 库。毫无疑问,OSS可以节 省DevOps团队的时间和金钱,但可能需要DevSecOps安全模型 来降低OSS风险和许可复杂性。(开源成分占有率高)S
28、ynopsys 2020年DevSecOps实践和开源管理调查中发现,46%的受访者表示,媒体对开 源问题的报道会影响他们在OSS工程中实施控制的方式。对近期供应链违规事件的持续报道加 剧了技术领导者对其控制严格性的担忧。(开源代码的漏洞不光加软件安全危机)。然而OSS的风险缓解策略和DevSecOps在很多方面是相辅相成的比方说:1、在OSS进入您的软件供应链之前,开始生成软件材料清单(SBOM)作为质量关口。2、通过从您的开发、安全和公司后台团队中引进人才,对OSS的采购给予企业软件级别的审 核、购买、和接受标准。您可以调整的您的DevSecOps生命周期,加入上述步骤,然后将该 DevS
29、ecOps纳入您的OSS采购策略。最后的想法现在,DevSecOps是一个嘈杂的话题。大量的营销人员正试图用他们的方式来定义它, 以便向商业和公共部门企业销售更多的产品。即便如此,开放源码软件和DevSecOps之间 的关系仍然是干净的。DcvSccOps工具和策略提供了一个安全门,将开放源码软件帚入软 件供应链和你的DevSecOps管道,流程的第一步就是保证开源软的安全和合规性。启动从DevOps到DevSecOps的转型DevSecOps的开展是大趋势。分析目前形式:作为瀑布式软件开发生命周期(SDLC)的一部 分,安全和交付速度似乎是不可兼得的;企业和政府机构面临着持续的压力,需要向他
30、们的客 户、选民和员工提供新的特性和功能;最近备受瞩目的软件供应链违规事件和拜登总统关于改 善国家网络安全的行政命令也增加了企业和政府转移到DevSecOps的紧迫性。所有这些情况都意味着,你的企业迟早需要将安全问题与它的DevOps流程结合起来。回 顾历史,网络安全团队只在漫长、费力的瀑布式SDLC结尾时扫描和修复安全问题后, 关注应用程序安全。这种模式带来的问题会随着时间的拉长而更为凸显。客户和市场对软件的 新功能、安全性和合规性的需求是高管们的首要任务。数字化转型的目的就是为了适应在疫情 前后新的工作环境,努力将软件安全的优先级提升。将安全性作为的DevOps事后考虑的问题, 这不是软件
31、用户和消费者所期望的。现在需要的是一个从DevOps到DevSecOps的转变。幸运的是,随着商业和公共领域的云 计算的开展,加上开源软件(OSS)的影响,而且现在也为开发团队提供了工具、流程和框架。 可以在软件开发过程中保持质量和安全的同时以更高的速度交付软件。DevSecOps使你的安全和DevOps团队在开发生命周期中一起工作。为了推进这一行为的落 实,你将需要来自你的开发人员、网络安全专家、系统管理员、业务利益相关者,甚至是你的 高管的合作。评估 DevOps 和 DevSecOpsDevOps结合了文化理念、最正确实践和工具,使您的组织能够更快地交付应用程序和服务。 转换为每日和每周
32、发布可使您减少季度或每月发布。这种快速发布与传统的瀑布式软件开发流 程和筒仓式基础设施管理相比,使用DevOps还可以帮助您更快地增长和改进产品。在保存DevOps的最正确品质的同时,DevSecOps将安全融入到周期的每个阶段。它打破了你 的开发、安全和运营团队之间的隔阂。DevSecOps的好处包括:1、在安全事件发生之前预防它们。通过在你的CI/CD工具链条中整合DevSecOps,你可以 在生产中出现问题之前检测和解决,从而为你的团队提供帮助。2、对安全问题的反响更快。DevSecOps通过持续的评估提高你的安全关注度,同时为你提 供可操作的数据,以便对开发中和准备进入生产的应用程序的
33、安全状况做出明智的决定。3、加快特征速度。DevSecOps团队拥有数据和工具,可以更好地缓解未预见的风险。4、降低安全预算。DevSecOps能够精简资源、解决方案和流程,让你通过设计来简化开发 生命周期。我们在许多行业都处于运营高峰期。请放心,DevOps和DevSecOps的定义将在未来的几 个月和几年内合并,即使只是为了企业的健全和管理。DevSecOps 和 OSSDevSecOps也可以在将OSS整合到企业应用中发挥重要作用。OSS和DevSecOps越来越 多地交织在一起,特别是在企业寻求改善其软件供应链的安全性时。DevSecOps可以作为 OSS的补救工具,因为它允许在每个管
34、道阶段进行自动化扫描。OSS也是采用和保障软件容器和Kubernetes的基础。最后的想法在你的组织开始从DevOps向DevSecOps转型之前,请退一步,为你的团队定义 DevSecOpso抛开市场营销。谈一谈你希望你的团队能够实现的结果。灌输一种开放和协作的 文化,并确保听取你的开发、运营和质量保证(QA)团队的积极和消极观点。让DevSecOps成为团队采用的4个步骤也许你的组织已经在尝试使用DevOps工具或考虑如何向DevOps开展。也许你还在依赖临 时性的流程。然后,你的c-suite或审计师突然提出需要对安全和敏捷的开发流程进行标准 化。那么请进入DevSecOpso为了减轻采
35、用DevSecOps带来的挑战,你需要让它成为一种团队工作。以下是你需要做的 事情。从小处着手从一个小型的概念验证工程开始,应用您的经验教训,然后在您的成功基础上再接再 厉, 这一点至关重要。选择一个小型工程的最正确方法是让业务利益相关者愿意将其较小的工程之 一迁移到DevSecOps开发模型。将应用程序迁移到云端,是用来进行此类概念验证工程的好 时机。培养整个组织的DevSecOps倡导者就像DevOps 一样,向DevSecOps转型最终是关于人和文化。迁移到DevSecOps需要你建 立内部的DevSecOps拥护者来传播好的消息。这里有一些你应该考虑的日常倡导者和拥护者。1、一个个人贡
36、献者和早期采用者,致力于建立更安全的应用程序。想一想其他开发者向 他提出问题的人。2、一个企业的利益相关者将通过提高安全性或通过向DevSecOps迁移促进销莒而受益: 想想销售人员或业务开发人员,如果你的公司能够安全地提供更多的功能和版本,他们可以更 好地服务他们的客户。一个政府机构的经理(有预算控制权),他的部门正在将他们的传统 应用程序迁移到云端,以满足FedRAMP的要求,这可能是另一个潜在的倡导者。3、开发团队的工程负责人,他们管理着交付代码的团队,但却陷入了无休止的安全更新 中,以缓解进入生产的安全问题。DevSecOps为他们提供了自动化和框架,可以为他们的团队 分担一些工作,这样他们就可以把注意力放在更多的战略任务上。