Эксперты назвали основные критерии для реализации практик DevSecOps

Эксперты назвали основные критерии для реализации практик DevSecOps

Организации, внедряющие безопасность в жизненный цикл ПО, демонстрируют лучшие результаты в обеспечении ИБ.

image

Эксперты рабочей группы по вопросам DevSecOps некоммерческой организации Cloud Security Alliance (CSA) определила шесть категорий, играющих критическую роль в DevSecOps.

DevSecOps – важное направление в DevOps (наборе практик, нацеленных на взаимодействие разработчиков ПО с экспертами по безопасности), подразумевающее обеспечение безопасности на всех этапах разработки приложений. Как показывает практика, организации, внедряющие безопасность в жизненный цикл ПО, демонстрируют лучшие результаты в обеспечении ИБ. Для того чтобы стимулировать внедрение DevSecOps, CSA выделила шесть категорий, на которые следует обратить внимание.

Коллективная ответственность: Каждый сотрудник организации несет ответственность за кибербезопасность и осознает собственный вклад в ее обеспечение. Пользователи и разработчики не только «осведомлены о безопасности», но и являются первой линией защиты.

Сотрудничество и интеграция: Культура сотрудничества и осведомленности в вопросах ИБ играет важную роль в обнаружении потенциальных аномалий командами специалистов.

Прагматичная реализация: Использование независимой от шаблонов модели цифровой безопасности и конфиденциальности, ориентированной на разработку приложений, позволит организациям прагматично подходить к безопасности в DevOps.

Обеспечение соответствия стандартам и разработки: Ключом к заполнению пробелов между соответствием стандартам и разработкой является преобразование средств управления в соответствующие критерии ПО, а также определение переломных моментов в жизненном цикле ПО, где эти средства управления могут быть автоматизированы и измерены.

Автоматизация: Качество ПО может быть улучшено за счет более тщательного, своевременного и регулярного тестирования. Поддающиеся автоматизации процессы нужно автоматизировать, а от неподдающихся следует отказаться.

Измерение, мониторинг, протоколирование и действие: Для успеха DevSecOps разработка ПО и его работа после установки на системах должны непрерывно контролироваться уполномоченными лицами в отведенное для этого время.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.