DevOps 在当今的业务环境中扮演着至关重要的角色,在企业数字化转型过程中,DevOps能够帮助企业迅速实现自动化和创新。不过,DevOps的好处只有在考虑相关的安全风险缓解并嵌入到DevOps流程中时才能发挥作用。
本着这种精神,作为 CISO 我会向 DevOps 求职者提出以下五个问题。这些问题的一个共同点是促使人们理解 DevOps(或 DevSecOps,注意考虑安全因素)求职者是否将自己视为帮助解决安全风险管理流程的一部分,还是更狭隘地专注于从工程和 IT 视角来开展工作。
1. DevOps 的安全优势是什么?
一个完善的 DevOps 流程可以解决许多安全风险问题。拥有一位了解这一点并能够清晰表达的工程师,并可以与你达成共识,该工程师将成为安全团队的一员。通过 DevOps 实现的自动化允许在开发过程中建立更多的安全控制,它将正确实施这些控制的职责转移到可能造成风险的开发者和工程师身上。认识到这种责任的价值并以此为基础的求职者——例如具有更好的控制,如健全的配置管理、访问控制、系统强化和资产清单——更有可能使用他们可用的自动化,而不是寻找绕过流程的方法。
2. 在 DevOps 模型和环境中,你遇到过哪些安全挑战?
并非一切都按计划进行,许多企业仍处于成熟 DevOps 计划的早期阶段。了解求职者已经看到并必须克服的挑战,是了解他们的另一种好方法,还可以收集其他成功解决问题的新策略。这个问题可以看出求职者对 DevOps 模型中安全概念重要性的理解深度。
解决问题的能力是任何角色的关键,在需要处理棘手场景的领域尤其如此,例如应对来自业务的安全异常请求。求职者是那种接受风险并继续前进的人,还是他们质疑异常,并用合适的专业知识在风险和业务需求之间找到适当的平衡?
3. 将安全融入到 DevOps 中,你有何经验?
了解求职者在以前的职位上如何将安全融入到 DevOps 中,有助于面试官向其学习,并可将部分见解和能力应用到组织自己的 DevOps 流程和生命周期中。求职者可能来自一个在通过 DevOps 推动安全的成熟度曲线上走得更远的企业,这可能对您的企业非常有帮助。
相反,如果求职者没有将安全融入到 DevOps 中的经验,这将是个危险信号。越来越多的安全团队将安全控制和流程嵌入到 DevOps 中,因此 DevOps 求职者应该能够回答这个问题并举例说明 DevOps 工具和方法如何提高安全性。
这还可以让您了解求职者对安全概念的认识和教育程度,并将帮助您确定是从零开始还是拥有良好的基础。
4. 你喜欢开源还是收费工具?
对我来说,这个问题的正确答案是表现出一种微妙的情境思维。对于 DevOps 从业者来说,了解公司的文化、愿景、措施和政策对于使用不同类型的工具并识别针对特定用例的正确工具是很重要的。
理想的求职者应该具有使用开源和收费工具的经验,了解其利弊,并以一种深思熟虑的方式将所有这些考虑在内,考虑如何基于上述企业的目标做出这些决定。例如,你不想听到有人坚持只使用开源工具,因为他们会试图在不适合的情况下强制提供工具,这可能会引入新的或附加的安全性、合规性以及风险问题。
5. 你认为 DevSecOps 是数字化转型的推动者还是阻碍者?
大多数数字化转型项目进展迅速,并为公司带来了新的机遇,其中可能包括最前沿的技术和能力。传统模式往往过于缓慢和繁琐,无法充分支持数字化转型。通过 DevOps 和自动化可以消除的障碍越多,就有越多的企业能够快速有效地进行数字化转型。
也就是说,安全不能是事后诸葛亮。安全主管们正在寻找将DevSecOps(增加安全性)视为数字化转型推动者的合作伙伴。那些将安全视为数字化转型阻碍因素的从业者很可能经常与安全团队发生冲突。相反,乐于将安全嵌入到项目中的 DevOps 工程师和开发人员将有能力通过日常流程降低安全风险。
总之,尽管当前的就业市场为求职者创造了显著的优势,但找到具有将安全融入 DevOps 和自动化经验的求职者是绝对值得的。作为一个将安全性引入企业并使其成为业务推动者的人,你必须寻找那些将成为你的安全团队的一部分而非有危害的人。