DevSecOps实施中的文化融合与能力构建

从业者意识到DevSecOps实施过程带来的文化冲突，并尝试解决这个问题，重要手段之一就是文化转型。为此，Larry Maccherone在会议中提出了Dev[Sec]Ops宣言：

l 建立安全而不仅仅是依赖安全;

l 依赖赋能的工程团队而不仅仅是安全专家

l 安全的实现功能而不仅仅是安全功能

l 持续学习而不是闭门造车

l 采用一些专用或常用的***实践而不是“伪”全面的措施

l 以文化变革为基础而不仅仅依赖规章制度

文化的建立和转型不仅要运用培训宣贯、会议沟通这类手段，还需要对组织的重新设计，比如建立“拧麻花”式的开放式组织，将安全人员融入每一个开发团队，而不是建立封闭的部门。这种方式，使得掌握安全能力的人员深入业务、开发、运维等各个领域，让DevSecOps真正创造价值，避免成为效率瓶颈。

解决冲突的过程同样离不开自动化和度量。借用演讲者的一句话：“将一切简单的东西自动化，将精力聚焦在复杂的事情上” 。基于这一原则，提升“简单领域”的自动化和集成程度，聚焦在业务领域的复杂问题上(业务领域知识、组织、管控流程)，企业可逐步建立并实现DevSecOps领域的实施路线图和里程碑DevSecOps的9个关键实践

通过对9个关键实践进行分为7个阶段的度量标注，运用不同颜色直观展示DecSecOps在组织中的实践和接受程度，使企业对其安全开发能力和发展状态有了全景认识，为后续持续和深度的改进打造良好的基础。

（编辑：黄山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!