在前几部分中,我们讨论了如何构建从代码提交到发布的快速工作流,以及反向的快速反馈流。我们还探索了加强组织学习和放大微弱故障信号的文化惯例,有助于创造更安全的工作系统。
在第六部分中,我们会进一步扩展这些活动,不仅实现开发和运维目标,还要同时实现信息安全目标,保障提高服务和数据的保密性、完整性和可用性。
我们不是在开发流程结束时才进行产品的安全性检查,而是要把安全控制整合到开发和运维团队的日常工作中,让安全成为所有人日常工作的一部分。理想情况下,这项工作将以自动化的形式集成到部署流水线里。此外,我们还将通过自动化控制来优化手动操作、验收和审批流程,逐渐降低对职责分立和变更审批流程等控制的依赖。
通过将这些活动自动化,可以在需要时向审计师、评估员或价值流中的任何人证明控制措施正在有效运行。
最后,我们不仅要提高安全性,而且还要创建更易于审计、能证明控制有效性的流程,以遵从监管义务和合同义务。相关的举措如下:
1、使安全成为每个人工作的一部分;
1、将预防性的控制代码集成到共享代码库中;
1、将安全性与部署流水线集成;
1、将安全性与监控集成,从而更好地检测和恢复;
1、保护部署流水线;
1、将部署活动与变更审批流程集成;
1、减少对职责分离的依赖。
当我们将安全工作整合到所有人的日常工作中,并使之成为每个人的责任时,组织就会获得更好的安全性。更好的安全性意味着我们可以防护数据、理智地对待数据。这又意味着可靠性和业务持续性,因为可用性更好,能更容易地从故障中恢复。我们能在灾难性后果发生之前解决安全问题,并且增加系统的可预测性。最重要的也许是,我们可以在系统和数据的防护方面做得比以往任何时候都好。
第六部分探讨了如何将DevOps原则应用于信息安全,帮助我们实现目标,并确保安全是所有人日常工作的一部分。更好的安全性确保了我们能防护数据、理智地对待数据,能在安全问题酿成灾难以前恢复。最重要的是,我们可以让系统和数据的安全性变得比以往更好。
