[Перевод] При создании DevSecOps не забывайте о SRE
Введение
Сегодня часто говорят о «разрыве между безопасностью и разработкой» или о «разрыве в безопасности DevOps». В этом есть смысл. Действительно, есть необходимость отделить безопасность от процессов разработки и DevOps.
Однако на удивление меньше внимания уделяется разрыву между разработкой надежности и безопасностью. При всем том, что мы говорим о DevSecOps, мы почти не обращаем внимания на важность более централизованной интеграции безопасности в работу по управлению инцидентами, выполняемую SRE.
Объясним, почему это является проблемой и что могут сделать SRE, чтобы решить ее.
Приоритеты SRE в сравнении с приоритетами безопасности
Когда вы являетесь техническим специалистом, устраняющим проблемы с надежностью, безопасность, вероятно, не является вашим главным приоритетом. Восстановление процесса обслуживания пользователей как можно быстрее — вот ваш главный приоритет. На втором плане у вас, наверняка, стоит обеспечение того, чтобы данный инцидент не повторился.
Если вы и будете думать о безопасности, то, скорее всего, только после того, как инцидент будет окончательно устранен. Возможно, вопросы безопасности всплывут во время анализа инцидента, если вы не забудете его провести.
Эта тенденция ставит SRE в противоречие с интересами инженеров по безопасности, чье основное внимание сосредоточено на безопасности, а не на надежности. Если вы инженер по безопасности, то хотите быть уверены, что любое исправление, которое SRE применяют во время урегулирования инцидентов, является наиболее безопасным решением. Будет ли это самое быстрое и надежное исправление — это не ваша проблема (это проблема SRE).
Читать далееИсточник: Хабрахабр
Похожие новости
- Как внедрить двухфакторную аутентификацию в веб-приложения, не предусматривающие ее изначально
- Ландшафт угроз информационной безопасности последних лет. Часть 1
- В России появился единый конструктор писем с ИИ
- Самые интересные задачи для безопасников — Джабба одобряет
- Как пройти путь до руководителя инфобеза?
- Стажировки в SOC. Часть 1: как организовать обучение на 1 тыс. человек
- Эволюция чат-ботов: 5 причин внедрить Telegram Web App
- Тестирование PT NGFW: ранняя версия межсетевого экрана нового поколения от Positive Technologies
- Обеспечение безопасности загрузчика GRUB в Linux
- Кадровый голод в сегменте маркетинговых услуг