DevOps 在當(dāng)今的業(yè)務(wù)環(huán)境中扮演著至關(guān)重要的角色，在企業(yè)數(shù)字化轉(zhuǎn)型過(guò)程中，DevOps能夠幫助企業(yè)迅速實(shí)現(xiàn)自動(dòng)化和創(chuàng)新。不過(guò)，DevOps的好處只有在考慮相關(guān)的安全風(fēng)險(xiǎn)緩解并嵌入到DevOps流程中時(shí)才能發(fā)揮作用。

本著這種精神，作為 CISO 我會(huì)向 DevOps 求職者提出以下五個(gè)問(wèn)題。這些問(wèn)題的一個(gè)共同點(diǎn)是促使人們理解 DevOps（或 DevSecOps，注意考慮安全因素）求職者是否將自己視為幫助解決安全風(fēng)險(xiǎn)管理流程的一部分，還是更狹隘地專注于從工程和 IT 視角來(lái)開(kāi)展工作。

1. DevOps 的安全優(yōu)勢(shì)是什么？

一個(gè)完善的 DevOps 流程可以解決許多安全風(fēng)險(xiǎn)問(wèn)題。擁有一位了解這一點(diǎn)并能夠清晰表達(dá)的工程師，并可以與你達(dá)成共識(shí)，該工程師將成為安全團(tuán)隊(duì)的一員。通過(guò) DevOps 實(shí)現(xiàn)的自動(dòng)化允許在開(kāi)發(fā)過(guò)程中建立更多的安全控制，它將正確實(shí)施這些控制的職責(zé)轉(zhuǎn)移到可能造成風(fēng)險(xiǎn)的開(kāi)發(fā)者和工程師身上。認(rèn)識(shí)到這種責(zé)任的價(jià)值并以此為基礎(chǔ)的求職者——例如具有更好的控制，如健全的配置管理、訪問(wèn)控制、系統(tǒng)強(qiáng)化和資產(chǎn)清單——更有可能使用他們可用的自動(dòng)化，而不是尋找繞過(guò)流程的方法。

2. 在 DevOps 模型和環(huán)境中，你遇到過(guò)哪些安全挑戰(zhàn)？

并非一切都按計(jì)劃進(jìn)行，許多企業(yè)仍處于成熟 DevOps 計(jì)劃的早期階段。了解求職者已經(jīng)看到并必須克服的挑戰(zhàn)，是了解他們的另一種好方法，還可以收集其他成功解決問(wèn)題的新策略。這個(gè)問(wèn)題可以看出求職者對(duì) DevOps 模型中安全概念重要性的理解深度。

解決問(wèn)題的能力是任何角色的關(guān)鍵，在需要處理棘手場(chǎng)景的領(lǐng)域尤其如此，例如應(yīng)對(duì)來(lái)自業(yè)務(wù)的安全異常請(qǐng)求。求職者是那種接受風(fēng)險(xiǎn)并繼續(xù)前進(jìn)的人，還是他們質(zhì)疑異常，并用合適的專業(yè)知識(shí)在風(fēng)險(xiǎn)和業(yè)務(wù)需求之間找到適當(dāng)?shù)钠胶猓?/p>

3. 將安全融入到 DevOps 中，你有何經(jīng)驗(yàn)？

了解求職者在以前的職位上如何將安全融入到 DevOps 中，有助于面試官向其學(xué)習(xí)，并可將部分見(jiàn)解和能力應(yīng)用到組織自己的 DevOps 流程和生命周期中。求職者可能來(lái)自一個(gè)在通過(guò) DevOps 推動(dòng)安全的成熟度曲線上走得更遠(yuǎn)的企業(yè)，這可能對(duì)您的企業(yè)非常有幫助。

相反，如果求職者沒(méi)有將安全融入到 DevOps 中的經(jīng)驗(yàn)，這將是個(gè)危險(xiǎn)信號(hào)。越來(lái)越多的安全團(tuán)隊(duì)將安全控制和流程嵌入到 DevOps 中，因此 DevOps 求職者應(yīng)該能夠回答這個(gè)問(wèn)題并舉例說(shuō)明 DevOps 工具和方法如何提高安全性。

這還可以讓您了解求職者對(duì)安全概念的認(rèn)識(shí)和教育程度，并將幫助您確定是從零開(kāi)始還是擁有良好的基礎(chǔ)。

4. 你喜歡開(kāi)源還是收費(fèi)工具？

對(duì)我來(lái)說(shuō)，這個(gè)問(wèn)題的正確答案是表現(xiàn)出一種微妙的情境思維。對(duì)于 DevOps 從業(yè)者來(lái)說(shuō)，了解公司的文化、愿景、措施和政策對(duì)于使用不同類型的工具并識(shí)別針對(duì)特定用例的正確工具是很重要的。

理想的求職者應(yīng)該具有使用開(kāi)源和收費(fèi)工具的經(jīng)驗(yàn)，了解其利弊，并以一種深思熟慮的方式將所有這些考慮在內(nèi)，考慮如何基于上述企業(yè)的目標(biāo)做出這些決定。例如，你不想聽(tīng)到有人堅(jiān)持只使用開(kāi)源工具，因?yàn)樗麄儠?huì)試圖在不適合的情況下強(qiáng)制提供工具，這可能會(huì)引入新的或附加的安全性、合規(guī)性以及風(fēng)險(xiǎn)問(wèn)題。

5. 你認(rèn)為 DevSecOps 是數(shù)字化轉(zhuǎn)型的推動(dòng)者還是阻礙者？

大多數(shù)數(shù)字化轉(zhuǎn)型項(xiàng)目進(jìn)展迅速，并為公司帶來(lái)了新的機(jī)遇，其中可能包括最前沿的技術(shù)和能力。傳統(tǒng)模式往往過(guò)于緩慢和繁瑣，無(wú)法充分支持?jǐn)?shù)字化轉(zhuǎn)型。通過(guò) DevOps 和自動(dòng)化可以消除的障礙越多，就有越多的企業(yè)能夠快速有效地進(jìn)行數(shù)字化轉(zhuǎn)型。

也就是說(shuō)，安全不能是事后諸葛亮。安全主管們正在尋找將DevSecOps（增加安全性）視為數(shù)字化轉(zhuǎn)型推動(dòng)者的合作伙伴。那些將安全視為數(shù)字化轉(zhuǎn)型阻礙因素的從業(yè)者很可能經(jīng)常與安全團(tuán)隊(duì)發(fā)生沖突。相反，樂(lè)于將安全嵌入到項(xiàng)目中的 DevOps 工程師和開(kāi)發(fā)人員將有能力通過(guò)日常流程降低安全風(fēng)險(xiǎn)。

總之，盡管當(dāng)前的就業(yè)市場(chǎng)為求職者創(chuàng)造了顯著的優(yōu)勢(shì)，但找到具有將安全融入 DevOps 和自動(dòng)化經(jīng)驗(yàn)的求職者是絕對(duì)值得的。作為一個(gè)將安全性引入企業(yè)并使其成為業(yè)務(wù)推動(dòng)者的人，你必須尋找那些將成為你的安全團(tuán)隊(duì)的一部分而非有危害的人。