Книга: Руководство по DevOps
Приглашайте инженеров службы безопасности на презентации промежуточных этапов создания продуктов
Приглашайте инженеров службы безопасности на презентации промежуточных этапов создания продуктов
Одна из наших целей — сделать так, чтобы инженеры службы безопасности начинали работать с командами разработчиков как можно раньше, а не присоединялись в самом конце проекта. Один из возможных способов добиться этого — приглашать службу безопасности на презентации продукта в конце каждого цикла разработки, чтобы ей было проще разобраться в целях разработчиков в контексте целей организации, пронаблюдать за развитием компонентов продукта, высказать пожелания и дать обратную связь на ранних стадиях проекта, когда еще достаточно времени и свободы, чтобы вносить правки.
Джастин Арбакл, бывший ведущий архитектор GE Capital, отмечает: «Когда дело дошло до информационной безопасности и соответствия нормам и стандартам, мы обнаружили, что проблемы в конце проекта обходились гораздо дороже, чем вначале, и проблемы безопасности были худшими. “Проверка соответствия требованиям на промежуточных этапах” стала одним из важных ритуалов равномерного распределения сложности по всем стадиям создания продукта».
Далее он продолжает: «Вовлекая службу безопасности в создание любого нового элемента функциональности, мы сильно сократили число чек-листов и начали больше полагаться на знания и опыт инженеров информационной безопасности на всех стадиях разработки продукта».
Это упростило выполнение бизнес-целей организации. Снехал Антани, бывший директор по информационным технологиям подразделения Enterprise Architecture компании GE Capital Americas, говорил, что у них тремя ключевыми показателями были «скорость разработки (то есть скорость вывода на рынок новых продуктов и элементов функциональности), неудачи в работе с клиентами (то есть сбои и ошибки) и время на выполнение запроса о соответствии нормам (то есть время от запроса аудиторов до предоставления всей количественной и качественной информации для удовлетворения запроса)».
Когда отдел безопасности вовлечен в процесс создания продукта, даже если его просто держат в курсе того, что происходит, сотрудники имеют представление о контексте работы и поэтому могут принимать взвешенные решения. Кроме того, инженеры безопасности могут помочь командам разработчиков понять, что нужно, чтобы продукт соответствовал нормам безопасности и законодательным требованиям.
Оглавление книги
- Приглашайте инженеров службы безопасности на презентации промежуточных этапов создания продуктов
- Вовлекайте инженеров безопасности в поиск дефектов и приглашайте их на совещания по разбору ошибок и сбоев
- Встройте профилактические средства контроля безопасности в общие репозитории и сервисы
- Встройте меры безопасности в конвейер развертывания
- Обеспечьте безопасность приложений
- Практический пример
- Статическое тестирование безопасности в компании Twitter (2009 г.)
- Проконтролируйте безопасность системы поставок программного обеспечения
- Обеспечьте безопасность программной среды
- Практический пример
- Автоматизация проверок на соответствие требованиям с помощью Compliance Masonry, сделанное группой 18F для федерального правительства
- Дополните информационную безопасность телеметрией
- Создайте телеметрию защиты данных в приложениях
- Создайте телеметрию защиты данных в своих средах
- Практический пример
- Оснащение сред инструментами слежения в компании Etsy (2010 г.)
- Защитите конвейер развертывания
- Заключение
- Покупатель на крючке. Руководство по созданию продуктов, формирующих привычки
- Система безопасности InterBase
- Общие рекомендации по безопасности
- Конфигурация безопасности для базы данных
- Жизненные циклы продуктов
- Глава 8 Дополнительные службы
- 2. Пример создания базового отношения в записи на псевдокоде
- 5.5 Технологии создания моментальных снимков тома
- Службы Windows SharePoint
- Обеспечение безопасности библиотеки
- Глава 1 Стандарты и угрозы информационной безопасности
- Глава 3 Нормативные руководящие документы, назначение и задачи информационной безопасности России