如何成为DevSecOps工程师

日期: 2019-09-15 作者:Michael Cobb翻译:邹铮 来源:TechTarget中国 英文

想要成为一名合格的DevSecOps工程师,需要拥有独特的技能和实践经验。DevSecOps工程师应该深入了解安全性如何影响开发流程的每个阶段以及最终的产品或服务。同样重要的是他们需要成为具有良好沟通技巧的团队成员。

这个角色并不适合那些喜欢独立工作的人。为了识别差距并将安全性嵌入到DevOps流程,DevSecOps工程师通常需要与其职位持怀疑态度或不了解的同事合作。若想要要赢得他们的尊重和合作,这里需要非常熟悉DevOps流程和原则,而不仅仅是IT安全专业人员的技术技能。理想的DevSecOps工程师参与并欣赏软件项目生命周期中的每个阶段,从初始设计和构建到部署和维护。在持续集成/连续交付(CI / CD)环境中,DevSecOps工程师还需要在关键任务时间压力下工作。

为了与DevOps团队成功合作,DevSecOps工程师需要全面了解流行的编程语言,例如PHP、Java、JavaScript、Ruby和Python。最好还要熟悉流行的CI / CD工具,例如Jenkins、GitLab CI / CD、CircleCI、Puppet、Chef和Spinnaker。DevSecOps候选者应该掌握Docker和Kubernetes的最新情况,以及云托管服务提供商(例如AWS和微软)–取决于企业使用的工具和服务。

为了在DevSecOps中提供安全性,最重要的是,掌握威胁建模、风险评估技术、代码审查、最佳做法和最新网络安全威胁的最新知识。DevSecOps工程师应选择并部署正确的自动化应用程序安全测试工具。他们有责任让用户了解如何充分利用应用程序安全功能。

现在软件项目已成为不同活动部件(包括人力和机器)的复杂混合体。诚然,知识和技能可以在工作中获得。但是,正式培训(例如行业标准认证)也很重要,以真正理解DevOps原则和方法。你可以尝试获得认证资格或DevOps认证,这可使你从工程师候选者中脱颖而出。在这方面,建议获取DevOps Institute的DevOps Foundation认证和DevSecOps Engineering认证或Practical DevSecOps的DevSecOps Professional认证。其他相关资格认证包括Certified Ethical Hacker、Certified Secure Software Lifecycle Professional、GIAC(全球信息保障认证)移动设备安全分析师和ISO 27001。微软、AWS和思科也提供有价值的认证。如果这些认证与DevSecOps项目相关,那么这可能是成为更好的工程师候选者的好方法。此外,SANS Institute还提供.NET和Java / Java Enterprise Edition的安全编码课程,其中教授如何安全地构建应用程序以及如何识别其他程序员的安全缺陷。

在正在从DevOps迁移到DevSecOps的公司中,DevSecOps工程师面临的挑战是说服可能持怀疑态度的开发人员:安全不会减慢他们的速度。为确保开发人员了解安全代码审查是代码提交过程的要求,这里需要外交技巧。工程师需要表现出耐心,并能够解释各种检查和审查将如何改进每个开发人员的工作。这可能是一个挑战。毕竟,开发人员主要关注的是尽快运行代码。

当开发人员认识到在设计或代码开发早期阶段发现漏洞的好处时,你可以更容易地进展到成熟DevSecOps模型。为了表明安全可改进每个团队的整体工作流程,好的做法是通过指标测量在提交代码前检测和修复的问题数量。

当开发人员和运营团队考虑每个设计决策的安全影响,特别是当开发人员开始享受构建安全软件的乐趣时,那么这项工作就会做得很好。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐

  • Sophos:“重量级”勒索软件索要高额赎金

    顶级勒索软件团伙正在变得越来越复杂,他们采用新的逃避技术,也在索要更多的赎金。 根据最新发布的《Sophos […]

  • 5个安全运营中心最佳做法

    研究数据表明,安全运营中心(SOC)可以显著推动企业的网络安全计划,这使SOC成为有效企业网络安全计划的基石。 […]

  • 了解零信任-SDP关系

    对于零信任,你需要了解的第一件事情是,对于一个强大的概念来说,这个名称并不是很好。这里的重点不是:没有什么可信 […]

  • McAfee启动IPO,融资6.2亿美元

    在其首次公开募股的20多年后,McAfee再次成为一家上市公司。 该端点安全公司估计筹集了6.2亿美元,以股票 […]