加快DevOps流程：CFO和CISO如何一起工作

本篇文章2098字，读完约5分钟

covid-19大流行带来了新的常态。远程办公和视频会议从未如此受欢迎。其直接结果是，云计算从未如此受欢迎。

然而，重要的是要注意那些需要全速迁移的人。pvycloud的Jeremy Lu Si Snyder在4月份接受《华尔街日报》采访时表示，人们确实擅长创造事物，但不擅长自我清洁。上个月，pariveda solutions的副总裁玛格丽特罗杰斯警告说，知道去哪里很难让旅程变得更容易。

在当今时代，安全比以往任何时候都更加重要。总部位于加州的应用安全提供商synopsys比任何人都更清楚这一点。synopsys的高级产品经理Utsav sanghani(左)解释说，尽管许多客户希望加速转型，但对于金融服务和独立软件供应商(ISVs)来说，流程都是关键。

他说:所有这些公司都处于这种转变之中，通常这种转变可能需要几年时间。有了covid-19，尤其是那些经历过这种转变的公司，那些转向更敏捷的“非接触式”devops流程的公司已经能够接受这种新的常态，但是对于一些组织来说，很难拥有旧的管道和devops工具。

你开始看到组织试图快速跟踪它，而不是一开始花18到24个月。现在，我们的目标是在6到8个月内完成它，你渴望找到合适的工具和过程改变，以及重大的文化改变，sanghani补充说。

然而，如果你的房子建在海滩上，不管你对组织做什么其他改变，秋天的影响仍然很大。Sanghani解释说:很明显，从开发人员、构建过程到持续集成，有许多变化需要进行。这些大型机系统从未考虑过持续集成的问题，因此尝试将它们转换成ci系统是一个挑战。

与该领域的许多公司一样，synopsys的整个产品组合中，无论是与云迁移相关的应用程序安全性，还是devops环境中的安全性，都有越来越多的客户参与进来。像其他过程一样，这个过程被巧妙地归类为流行词devsecops。但正如sanghani解释的那样，synopsys的目标是将appsec变成主流，而不是时髦的词汇。Devsecops是一种意识形态，而devops是一种真正的文化变革。

他说:当我们谈论嵌入安全性时，理想情况下，目标是您需要在过程中尽早嵌入它。Devops在开始时提供了开发人员组件和操作组件之间更平滑的过渡，安全性在不同的阶段非常重要，您的风险在不同的阶段有所不同。

Sanghani补充道:如果您正在运行和运行扫描，并且意识到已经在生产环境中部署和运行的系统上存在活跃的漏洞，那么您将会遇到问题。如果您在开发阶段发现一些未部署的东西，您仍然有很好的机会来处理它。

作为一个时髦的词，devops对于许多开发者和不同的成员来说是非常令人兴奋的--可能会有一个不同的人参与的更民主的过程。安全可能是其中的一部分。我们的主要目标是帮助这些组织中的安全管理员与开发人员、devops工程师和构建工程师一起工作，并使安全成为流程的标准部分，即使他们转向更严格的devops流程。

那么，如何协调这样一个过程，更重要的是，所有利益相关者如何参与其中？这有助于关注可能的损害，而蓝筹股品牌继续遭受数据泄露之苦——过去12个月里，万豪和首创排名第二。

他表示:cfo和ciso可以非常紧密地合作。从经济和声誉的角度来看，违规行为都会造成损害。组织希望避免这种情况，这就是为什么他们一起合作进行更改以确保降低风险。

他补充道:实际上，这更关乎效率。建筑和运营工程师衡量他们能够多快地编写代码，通过管道传递，并可能发布。从成本的角度来看cxo是不同的，但他们同意devops主要是因为这些原因，因为它可以帮助他们实现这些好处。

展望未来，synopsys注意到covid-19对客户路线图的影响以及公司如何帮助他们。该公司的客户范围从希望最大限度降低应用程序安全风险的初创公司到大型组织，从零售到金融服务，都致力于最佳实践。

Sanghani解释说，客户依赖于更传统的devops和协作工具，如jira和atlassian的servicenow，因此提高速度和实现更多自动化势在必行。假设您发现了一个安全缺陷，这是您的代码库中的一个问题[您如何在开发人员面前解决这个问题？他说。既然我们不再在同一个办公室工作，我们如何实现流程自动化并扩大规模？

您可以与jira集成，然后将问题推给jira，您已经建立了一个工作流，该工作流会自动将问题分配给开发人员。开发人员打开门票(并且知道他们必须解决这个问题)。因此，在新covid-19的正常运行期间，synopsys已经开始推广这种自动化，以快速跟踪和帮助客户。

同时，这是一项在数量上产生更高质量结果的举措。我们正试图减少我们提供给你的结果的数量，但是我们可以提供给你具体的背景信息——这样它会告诉你技术和技术已经发现了什么——这可能是同一个问题，所以你必须只解决一次。他补充道。

这是当今工业中缺失的部分。我们为您提供单独的工具数据，但是您如何将它们放在一起，以便开发人员能够理解为什么会有问题？相关性和许多与检测和维修相关的自动化相关内容是我们计划的主要部分。他补充道。[techweb编译]

来源：搜狐微门户