Спочатку, почувши слово SecOps, я подумав про це як про підхід управління, який має на меті з'єднати команди безпеки та операцій, майже так само, як DevOps об'єднує розробників та операційну команду.
Але хіба безпека не є лише частиною головоломки DevOps?
DevOps вже включає такі процеси, як моніторинг компонентів, управління версіями, порівняльний аналіз, перегляд коду, постійний моніторинг.
Що ще може SecOps додати до команди DevOps, чи це ще одне гучне слово?
Відповіді:
Я погоджуюся, що це казкове слово, скільки DevOps може бути.
Основне завдання SecOps, доданого до звичайних операційних завдань інженерів, - це взяти на себе тягар наступних каналів публікацій CVE, обробляти виправлення, як правило, обробляти речі, які історично обробляються командою безпеки або адміністрації мережі (правила брандмауера, винятки з брандмауера веб-додатків)
Якщо ви бачите Sysadmin в DevOps org як sysadmin, здатний читати та бути частиною коду програми, SecOps - це sysadmin, який може бути частиною правил безпеки інфраструктури навколо самих серверів.
У деяких структурах, що зберігають відповідальність (Sales, Business, Dev, Ops, Security, Monitoring), Інженери з безпеки та Інженерів з експлуатації поділяються настільки ж, як і розробники та інженери з експлуатації, не переймаючись повною організацією DevOps, перехід на модель SecOps Перший крок для об'єднання двох відокремлених команд, історично ближчих і менш антагоністів в організації, що базується на силосах. Деяким людям також зручніше додати або операцію, або аспект безпеки у свою поточну роботу, ніж вирощування навичок кодування.
Підводячи підсумок, я б визначив SecOps як перший крок до органу DevOps, спрямований на те, щоб отримати команду, що працює в багатьох сферах, навколо інженерів з безпеки / мережі / операційних систем, де вони є окремими командами в існуючому відділі.
Я згоден з відповіддю Тенсібая в тому, що SecOps - це стільки ж гудкового слова, скільки і сам DevOps, і що SecOps є кроком між прохідною організацією та згуртованою організацією.
Я помітив, що зворотний бік також є істинним, тобто якщо у вас є організація, яка працює за допомогою моделі DevOps, з способами роботи DevOps та дотриманням практики DevOps, вони можуть призначити когось із ролі SecOps для інтеграції практики безпеки ІТ в модель.
Досить часто це позначається як DevSecOps або DevOpsSec, щоб з'єднати всі три дисципліни.
Подальше читання:
З усього вищесказаного, я зараз читаю книгу Джима Берда, мав задоволення співпрацювати з організатором DevSecCon в попередній ролі і мав привілей відвідати сесію швидкості в Амстердамі минулого року.