6月28日,继4月份旧金山的一个类似活动之后,第一届 DevSecOps Days 活动在伦敦拉开帷幕。活动组织人John Willis和Mark Miller在开场做了欢迎致辞,他们说,活动的目的是复制 DevOpsDays 模型,并促进全球社区举办自己的活动。
第一个演讲由LARES咨询公司对抗性研究和工程主管Chris Roberts呈献,他问我们是否可以击败攻击者,并自答说,尽管很多供应商表示可以,但证据告诉我们,我们不能。他的建议是更多地引入人类的干预,让人力资源和法律团队之间更多地关注安全,并“深入了解你的世界”。Roberts解释说,在数字化的世界中,组织不再有边界,迫切需要回归基础并移除进入组织的简单方式。令他感到惊讶的是,二十六年过去了,我们居然还在谈论密码问题。
在Roberts的演讲之后,观众听取了每个活动赞助商的简要介绍: Electric Cloud 、 Sonatype 、 WhiteSource 和 Gitlab 。
John Willis随后在台上向观众讲述了他在 DevOps企业峰会 之后的前几天所推动的研讨会,参与者在研讨会中使用了由Github、Jenkins、Electric Cloud和Sonatype组成的工具包,并用它们来查找运行在Tomcat中的Struts漏洞(他强调说现在仍有大量组织面临这个Struts漏洞的威胁)。
John Willis:如果是朋友,就不会推荐在默认模式下运行Jenkins。我们看到了可怕的死亡链――昨天目睹了一次攻击,攻击者通过攻击获取了一个AWS超级用户。Sonatype将它标记为IDE中的开发问题。
接下来是Nike的Courtney Kissler,他建议不要只是在方法论上找问题,而是要选出合适的领导者,并通过透明度建立信誉和信任。她发现,使用数据推动决策和行动有助于重新调整情绪,而且很重要的一点是,要挑战现状并坚持不懈。因为遭到过很多质疑,Kissler后来发现词汇的使用非常重要,需要从小处着手。
Courtney Kissler:我们不得不在口头表达方面做出很多调整,比如说使用“快速学习”代替“失败”,使用“弹性”代替“混乱”。我们学会了不在意这些词汇,更多地关注业务产出。我们提升了工作的可见度,我们发现了很多人们之前意识不到的工作进展。人们也意识不到他们的周期时间是多少,他们认为这是十天,但其实是八十四天。
Kissler将业务的战略调整看成是一个巨大的加速器,并将工程能力看成是头号限制因素。她分享了他们是如何实现“转身”的:团队之前首先会关注功能,后来改成首先考虑安全性和合规性。结果是,在二百五十天内没有出现热修复。Kissler建议:“尊重并挖掘现实”。
随后,Mark Miller与Chris Roberts和John Willis一起举行了一次非正式的小组讨论,他们讨论了行业每年产生870亿次开源下载请求的影响,随着越来越多的企业采用开源技术以及实施开源策略,这个数字只会增加。Miller表示,11.1%的Java下载组件包含已知的漏洞,其中一位观众对稳定性概念进行了一个类比:“你是在玩Jenga还是在骑自行车?”。Chris Roberts回应道:“稍安勿躁,我们需要的是沟通”。每年,已知漏洞的下载量翻一番,被报告的泄露事件也成倍增加。
接下来是来自EMEA的技术社区经理Mandi Walls,他谈到了组织将自己视为技术公司的重要性,并引用阿拉斯加航空公司为了成为一个“ 有翅膀的技术公司 ”而做出的努力,他们的做法在这个领域是值得称道的。Walls提醒观众注意最近的 Honda WannaCry ,然后演示了Chef Inspec技术如何帮助识别和修复此类安全问题。
Walls之后是Aubrey Stearn,他之前是阿卡迪亚、Travelodge和必胜客的DevOps领导者和教练。Stearn声称,DevOps的节奏已经建立起来了,并且开发往往比IT运营(特别是安全团队)动作快得多。她解释了在软件供应链环境中考虑攻击向量的重要性。供应链从本地机器开始,流经构件仓库和公共容器注册表,并达到端点。Stearn强调开发人员必须执行安全测试,在推送之前把它们扼杀在襁褓之中。她推荐观众们使用诸如 Detectify 之类的工具。
演讲结束后,Stearn在社交媒体上分享了演讲幻灯片,其中最受欢迎的一句话是:“如果你让我的生活难过,我会偷工减料并做一些愚蠢的事!”。Strearn表示,组织无法在没有信任的情况下进行转型,DevOps不会神奇地解决问题。她谈到了“Scrum-but”,并建议团队可以停止糟糕的Scrum实践,并改用Kanban。在开发完成后,开发团队将构件交给测试团队和安全团队,然后反过来收到五个构件――她称之为“神奇的繁殖机器”。总之,Stearn表示,开发要做测试,如果组织没有在开发中做测试,他们等于在透支自己的信誉(并产生技术债务)。
按照DevOpsDays的惯例,接下来的几个小时是开放讨论,向观众介绍了这个概念。开放讨论大致分为两个阵营:一个是围绕文化和组织的挑战及解决方案,一个是围绕DevSecOps技术。
当天的最后一位发言人是AWS的企业战略官Mark Schwartz,他分享了他之前担任美国公民和移民服务CIO的一些经历。他带来了一名前国家安全局员工作为渗透测试员,这位员工发现了他们的数字化签证系统存在一些缺陷。他们还让一些审计人员进行了一些成功的社会工程攻击,帮助他们了解需要在哪些方面优先考虑收紧安全政策和程序――特别是人们的密码使用习惯。Schwartz说:“我们要让做正确的事情变容易,做错误的事变困难”。他们使用 TFA 和 SSO 以及进入建筑物需要安检、使用计算机需要PIN来解决密码问题――因此,他说,自动化解决了流程问题。
像Kissler一样,Schwartz也谈到了文化变革,解释了传统上企业更希望IT处理功能性问题,他们对安全事务不感兴趣。他说这是一个奇怪的问题,因为一个关键的客户需求是不要让他们的数据受到损害。Schwartz强调,我们有必要建立一种文化,让我们代表客户和利益相关者关注安全,并将 Rugged软件宣言 作为一种工具,用于指导软件的开发,并时刻提防潜在的攻击。他总结说,很多安全修复程序是免费的,并且不需要额外的投资,只需要注意自己的工作方式,例如,不要将密钥留在源码控制系统中。
DevSecOps Days伦敦站由Mark Cluet组织。下一届DevSecOps Days将于 7月24日在新加坡 举行。
查看英文原文: DevSecOps Grows Up and Finds Itself a Community
