DevSecOps 已发展成为一个社区

6 月 28 日，继 4 月份旧金山的一个类似活动之后，第一届 DevSecOps Days 活动在伦敦拉开帷幕。活动组织人 John Willis 和 Mark Miller 在开场做了欢迎致辞，他们说，活动的目的是复制 DevOpsDays 模型，并促进全球社区举办自己的活动。

第一个演讲由 LARES 咨询公司对抗性研究和工程主管 Chris Roberts 呈献，他问我们是否可以击败攻击者，并自答说，尽管很多供应商表示可以，但证据告诉我们，我们不能。他的建议是更多地引入人类的干预，让人力资源和法律团队之间更多地关注安全，并“深入了解你的世界”。Roberts 解释说，在数字化的世界中，组织不再有边界，迫切需要回归基础并移除进入组织的简单方式。令他感到惊讶的是，二十六年过去了，我们居然还在谈论密码问题。

在 Roberts 的演讲之后，观众听取了每个活动赞助商的简要介绍： Electric Cloud 、 Sonatype 、 WhiteSource 和 Gitlab 。

John Willis 随后在台上向观众讲述了他在 DevOps 企业峰会之后的前几天所推动的研讨会，参与者在研讨会中使用了由 Github、Jenkins、Electric Cloud 和 Sonatype 组成的工具包，并用它们来查找运行在 Tomcat 中的 Struts 漏洞（他强调说现在仍有大量组织面临这个 Struts 漏洞的威胁）。

John Willis：如果是朋友，就不会推荐在默认模式下运行 Jenkins。我们看到了可怕的死亡链——昨天目睹了一次攻击，攻击者通过攻击获取了一个 AWS 超级用户。Sonatype 将它标记为 IDE 中的开发问题。

接下来是 Nike 的 Courtney Kissler，他建议不要只是在方法论上找问题，而是要选出合适的领导者，并通过透明度建立信誉和信任。她发现，使用数据推动决策和行动有助于重新调整情绪，而且很重要的一点是，要挑战现状并坚持不懈。因为遭到过很多质疑，Kissler 后来发现词汇的使用非常重要，需要从小处着手。

Courtney Kissler：我们不得不在口头表达方面做出很多调整，比如说使用“快速学习”代替“失败”，使用“弹性”代替“混乱”。我们学会了不在意这些词汇，更多地关注业务产出。我们提升了工作的可见度，我们发现了很多人们之前意识不到的工作进展。人们也意识不到他们的周期时间是多少，他们认为这是十天，但其实是八十四天。

Kissler 将业务的战略调整看成是一个巨大的加速器，并将工程能力看成是头号限制因素。她分享了他们是如何实现“转身”的：团队之前首先会关注功能，后来改成首先考虑安全性和合规性。结果是，在二百五十天内没有出现热修复。Kissler 建议：“尊重并挖掘现实”。

随后，Mark Miller 与 Chris Roberts 和 John Willis 一起举行了一次非正式的小组讨论，他们讨论了行业每年产生 870 亿次开源下载请求的影响，随着越来越多的企业采用开源技术以及实施开源策略，这个数字只会增加。Miller 表示，11.1％的 Java 下载组件包含已知的漏洞，其中一位观众对稳定性概念进行了一个类比：“你是在玩 Jenga 还是在骑自行车？”。Chris Roberts 回应道：“稍安勿躁，我们需要的是沟通”。每年，已知漏洞的下载量翻一番，被报告的泄露事件也成倍增加。

接下来是来自 EMEA 的技术社区经理 Mandi Walls，他谈到了组织将自己视为技术公司的重要性，并引用阿拉斯加航空公司为了成为一个“有翅膀的技术公司”而做出的努力，他们的做法在这个领域是值得称道的。Walls 提醒观众注意最近的 Honda WannaCry ，然后演示了 Chef Inspec 技术如何帮助识别和修复此类安全问题。

Walls 之后是 Aubrey Stearn，他之前是阿卡迪亚、Travelodge 和必胜客的 DevOps 领导者和教练。Stearn 声称，DevOps 的节奏已经建立起来了，并且开发往往比 IT 运营（特别是安全团队）动作快得多。她解释了在软件供应链环境中考虑攻击向量的重要性。供应链从本地机器开始，流经构件仓库和公共容器注册表，并达到端点。Stearn 强调开发人员必须执行安全测试，在推送之前把它们扼杀在襁褓之中。她推荐观众们使用诸如 Detectify 之类的工具。

演讲结束后，Stearn 在社交媒体上分享了演讲幻灯片，其中最受欢迎的一句话是：“如果你让我的生活难过，我会偷工减料并做一些愚蠢的事！”。Strearn 表示，组织无法在没有信任的情况下进行转型，DevOps 不会神奇地解决问题。她谈到了“Scrum-but”，并建议团队可以停止糟糕的 Scrum 实践，并改用 Kanban。在开发完成后，开发团队将构件交给测试团队和安全团队，然后反过来收到五个构件——她称之为“神奇的繁殖机器”。总之，Stearn 表示，开发要做测试，如果组织没有在开发中做测试，他们等于在透支自己的信誉（并产生技术债务）。

按照 DevOpsDays 的惯例，接下来的几个小时是开放讨论，向观众介绍了这个概念。开放讨论大致分为两个阵营：一个是围绕文化和组织的挑战及解决方案，一个是围绕 DevSecOps 技术。

当天的最后一位发言人是 AWS 的企业战略官 Mark Schwartz，他分享了他之前担任美国公民和移民服务 CIO 的一些经历。他带来了一名前国家安全局员工作为渗透测试员，这位员工发现了他们的数字化签证系统存在一些缺陷。他们还让一些审计人员进行了一些成功的社会工程攻击，帮助他们了解需要在哪些方面优先考虑收紧安全政策和程序——特别是人们的密码使用习惯。Schwartz 说：“我们要让做正确的事情变容易，做错误的事变困难”。他们使用 TFA 和 SSO 以及进入建筑物需要安检、使用计算机需要 PIN 来解决密码问题——因此，他说，自动化解决了流程问题。

像 Kissler 一样，Schwartz 也谈到了文化变革，解释了传统上企业更希望 IT 处理功能性问题，他们对安全事务不感兴趣。他说这是一个奇怪的问题，因为一个关键的客户需求是不要让他们的数据受到损害。Schwartz 强调，我们有必要建立一种文化，让我们代表客户和利益相关者关注安全，并将 Rugged 软件宣言作为一种工具，用于指导软件的开发，并时刻提防潜在的攻击。他总结说，很多安全修复程序是免费的，并且不需要额外的投资，只需要注意自己的工作方式，例如，不要将密钥留在源码控制系统中。

DevSecOps Days 伦敦站由 Mark Cluet 组织。下一届 DevSecOps Days 将于 7 月 24 日在新加坡举行。

查看英文原文： DevSecOps Grows Up and Finds Itself a Community