AA
🤔а чем DevOps отличается от DevSecOps?
Этот чат как раз был создан для того чтобы это выяснить.
Size: a a a
2020 June 01
AA
Хотим ли мы видеть вакансии по DevSecOps в этом чате?
Анонимный опрос
77%
да
23%
нет
Как-то не активно вы голосуете.
A
Этот чат как раз был создан для того чтобы это выяснить.
😐я думал просто более специализированное общение с узким кругом инструментов. Ответ же прост: ничем.
У тебя в пайпе в любом случае должны быть чеки на ИБ
У тебя в пайпе в любом случае должны быть чеки на ИБ
A
В противном случае должен быть DevQAOps, чтоб и тесты тогда были. А без этого код собрали и сразу кинули в прод. А если у тебя и ИБ и тесты, то DevQASecOps, а если еще и сетевые политики делаешь DevQASecNetOps
VK
AA
DevOps это более общий термин который скорее про взаимодействие людей, а не про пайплайн.
AA
Sec выделяет безопасность кроме разработки и поддержки, т.к. про неё часто забывают.
ST
В противном случае должен быть DevQAOps, чтоб и тесты тогда были. А без этого код собрали и сразу кинули в прод. А если у тебя и ИБ и тесты, то DevQASecOps, а если еще и сетевые политики делаешь DevQASecNetOps
*Biz
A
DevOps это более общий термин который скорее про взаимодействие людей, а не про пайплайн.
Верно, DevOps это методология взаимодействия, которая вобрала в себя некоторые аспекты от Agile/Lean/Toyota way/so on. Однако, с течением времени она тоже развивалась и к этой методологии начали относить и какие-то паттерны разработки (тоже абстрактные как сама методология), но вполне реализуемые в той или иной степени и ступени Sec в этих пайпах присуствуют в любом случае. Если же даже на этих ступенях отсуствует какая-либо безопастность, например не разделены юзеры на пул и пуш, то это уже низкая квалификация сотрудников которые эти паттерны реализуют.
То, что ИБ и разработка в целом разделены, это просчет управляющего состава на мой взгляд т.к. и без DevSecOps присуствуют security champion в командах, а сама модель ИБ построена на SAMM (OpenSAMM).
Другими словами, DevOps === Dev* === *Ops т.к благодаря своей гибкости ты можешь за место звездочки воткнуть, что угодно и все равно в общем и целом получишь DevOps
То, что ИБ и разработка в целом разделены, это просчет управляющего состава на мой взгляд т.к. и без DevSecOps присуствуют security champion в командах, а сама модель ИБ построена на SAMM (OpenSAMM).
Другими словами, DevOps === Dev* === *Ops т.к благодаря своей гибкости ты можешь за место звездочки воткнуть, что угодно и все равно в общем и целом получишь DevOps
DD
Не очень понятен тезис про "и без DevSecOps присуствуют security champion в командах, а сама модель ИБ построена на SAMM (OpenSAMM)."
DD
Это на чьем-то примере сейчас?
DD
SAMM - это же только maturity model же и то это только один из существующих способов оценки
Просто непонятно при чем тут он в разрезе всего понятия DevOps )
Просто непонятно при чем тут он в разрезе всего понятия DevOps )
ST
Верно, DevOps это методология взаимодействия, которая вобрала в себя некоторые аспекты от Agile/Lean/Toyota way/so on. Однако, с течением времени она тоже развивалась и к этой методологии начали относить и какие-то паттерны разработки (тоже абстрактные как сама методология), но вполне реализуемые в той или иной степени и ступени Sec в этих пайпах присуствуют в любом случае. Если же даже на этих ступенях отсуствует какая-либо безопастность, например не разделены юзеры на пул и пуш, то это уже низкая квалификация сотрудников которые эти паттерны реализуют.
То, что ИБ и разработка в целом разделены, это просчет управляющего состава на мой взгляд т.к. и без DevSecOps присуствуют security champion в командах, а сама модель ИБ построена на SAMM (OpenSAMM).
Другими словами, DevOps === Dev* === *Ops т.к благодаря своей гибкости ты можешь за место звездочки воткнуть, что угодно и все равно в общем и целом получишь DevOps
То, что ИБ и разработка в целом разделены, это просчет управляющего состава на мой взгляд т.к. и без DevSecOps присуствуют security champion в командах, а сама модель ИБ построена на SAMM (OpenSAMM).
Другими словами, DevOps === Dev* === *Ops т.к благодаря своей гибкости ты можешь за место звездочки воткнуть, что угодно и все равно в общем и целом получишь DevOps
ну чо вы перебираете опять базворд, также как с SRE выходит, DevSecOps Implements DevOps
A
Denis Denisov
SAMM - это же только maturity model же и то это только один из существующих способов оценки
Просто непонятно при чем тут он в разрезе всего понятия DevOps )
Просто непонятно при чем тут он в разрезе всего понятия DevOps )
к тому, что тоже вполне неплохо встраивается в DevOps
A
Denis Denisov
Это на чьем-то примере сейчас?
про security champions я только от газпрома слышал на каком-то митапе Чистякова(2019 год)🤔Я так понимаю у них и samm развернут
A
о, e42 рассказывал про samm на евенте от axoftа по продаже рекламе Twistlock
AA
Верно, DevOps это методология взаимодействия, которая вобрала в себя некоторые аспекты от Agile/Lean/Toyota way/so on. Однако, с течением времени она тоже развивалась и к этой методологии начали относить и какие-то паттерны разработки (тоже абстрактные как сама методология), но вполне реализуемые в той или иной степени и ступени Sec в этих пайпах присуствуют в любом случае. Если же даже на этих ступенях отсуствует какая-либо безопастность, например не разделены юзеры на пул и пуш, то это уже низкая квалификация сотрудников которые эти паттерны реализуют.
То, что ИБ и разработка в целом разделены, это просчет управляющего состава на мой взгляд т.к. и без DevSecOps присуствуют security champion в командах, а сама модель ИБ построена на SAMM (OpenSAMM).
Другими словами, DevOps === Dev* === *Ops т.к благодаря своей гибкости ты можешь за место звездочки воткнуть, что угодно и все равно в общем и целом получишь DevOps
То, что ИБ и разработка в целом разделены, это просчет управляющего состава на мой взгляд т.к. и без DevSecOps присуствуют security champion в командах, а сама модель ИБ построена на SAMM (OpenSAMM).
Другими словами, DevOps === Dev* === *Ops т.к благодаря своей гибкости ты можешь за место звездочки воткнуть, что угодно и все равно в общем и целом получишь DevOps
Sec ступени в пайплайне, также как и Security champion в командах просто так не появятся если эту тему никто не драйвит. С появлением термина DevOps появилось очень много крутых тулов и подходов. Как минимум, все админы научились пользоваться гитом, что им мешало до этого?
А решения для безопасности, по моему мнению, так и топчутся на 10 лет позади.
Базворды это или нет, но они позволяют сдвинуть что-то в головах.
А решения для безопасности, по моему мнению, так и топчутся на 10 лет позади.
Базворды это или нет, но они позволяют сдвинуть что-то в головах.
AA
> например не разделены юзеры на пул и пуш, то это уже низкая квалификация сотрудников которые эти паттерны реализуют.
Я уверен, что есть множество причин по которым люди допускают косяки в безопасности и совсем не из-за низкой квалификации.
Никто же не думает, что обычные баги программисты делают из-за низкой квалификации.
Я уверен, что есть множество причин по которым люди допускают косяки в безопасности и совсем не из-за низкой квалификации.
Никто же не думает, что обычные баги программисты делают из-за низкой квалификации.
AA
У QA есть куча тулов для отлова обычных багов, есть какие-то комьюнити, даже в самом маленьком стартапе есть отдельный человек. А для багов безопасности всё как-то сложно, по прежнему.
AA
И как бы то, что все считают безопасников мудаками, а безопасники думают, что всем плевать на безопасность. В этом тоже есть стена непонимания которая была между Dev и Ops.