Home 播客 DevOps:向左移動以避免產品路線圖向右移動
Applications

DevOps:向左移動以避免產品路線圖向右移動

About The Author

Outline

Edgio的《超越邊緣》簡介播客第4集:DevOps:左移以避免改變您的產品路線圖,由Edgio全球行銷活動經理Lauren Bradley主持。

Lauren Bradley: 嘿,歡迎來到Beyond the Edge,在這裏我們深入瞭解現代數字業務的內在和外。 我是Lauren Bradley,您在本集的共同試點,今天我們將探討向左轉移的主題,特別是隨着Web應用程式和API保護的發展,文化和技術如何改變成爲DevOps生命週期的固有組成部分。

讓我們從Ponemon Institute的令人震驚的統計數據開始。 如今,大多數公司甚至需要200多天的時間才能發現漏洞。 如果您檢測不到漏洞的速度足夠快,那麼您將付出巨大的代價。 IBM發現,在測試階段發現的修復錯誤的成本可能是設計過程中發現的成本的15倍。

因此,簡單地說,您等待解決問題的時間越長,成本就越高。 而且,我們不僅僅是談論金錢,返工,時間和能源最終會使產品路線圖倒退。 那麼,您如何有效地向左轉移,避免浪費寶貴的資源和阻礙您的進步?

今天加入我們,Edgio平臺工程總監Michael Grimshaw和Edgio安全平臺產品管理高級總監Richard Yew。 歡迎,Michael和Richard。 讓您繼續前進是很棒的。

邁克爾·格里姆肖: 謝謝你,勞倫。 在這裏很棒 謝謝你。

勞倫·布拉德利: 你們能告訴我一點關於你們自己和你們對這個主題的初步想法嗎? Mike,我們將從您開始。

邁克爾·格里姆肖: 絕對的。 首先,讓我首先感謝,感謝勞倫,感謝你如此關心。 在這個非常重要的主題中,您正在深入瞭解和發展,以及我們在這方面所進行的和正在進行的對話(包括今年的一年),對於我們在業界所做的工作來說,是非常寶貴和必要的。

邁克爾·格里姆肖: 這種理解需要廣泛地分享,並真正欣賞這種興趣。 我叫Michael Grimshaw。 我是Edgio的平臺工程總監。 對於那些不熟悉或非常熟悉平臺的用戶來說,它真正考慮將您的應用程式和基礎架構整合爲一致的單元。

而且,我來到了具有高度安全性背景的平臺,我非常熱衷於這一領域,因爲它在安全性和盈利能力方面,都是如此巨大的移動。 以及對我們的行業如此重要的許多領域。

我可以繼續介紹DevOps,但讓我把它交給Richard,以供他介紹。

Richard Yew: 非常感謝Michael。 是。 是。 這是一個非常重要的主題。 這在我心中是非常接近和親愛的,因爲我個人經歷了整個軟體開發生命週期過程,並將這些過程轉化爲業務。

現在,談到我做什麼… 顯然,正如Lauren所說,我在Edgio營運我們的安全產品管理組織。 因此,我的日常工作需要與研發團隊和工程團隊合作,以確保我們爲客戶提供價值。 而且,您知道,所有這些顯然包括優化我們的開發實踐,安全性,CI CD實踐等。 確保我們能夠提供安全的產品。

對。 這實際上爲我們的客戶提供了價值,按時,按預算交付,並確保我們爲客戶提供卓越的體驗。 因此,我在這方面的觀點是從人員的角度來看整個DevOps,這是與技術不同的流程,以及我們如何爲行業實際實施最佳實踐。

什麼是DevOps?

邁克爾·格里姆肖: 理查德,如果你不介意的話,讓我把球偷到那裏。

我想讓我們來標準化DevOps的含義,然後換左移,對吧? 有Gartner,這裏有一些人在聆聽DevOps時會注意到這些內容,而術語向左移,向右移等可能聽起來相對較新。 這不是新的,你知道,它不像,哦,一年前剛剛發生的最新熱點的東西。

不,這已經在業內烘焙了相當長一段時間。 事實上,Gartner發佈了一份2017年關於DevOps生命週期的報告。 只是DevOps的延伸,也是業界的DevOps趨勢,只是將資訊安全納入意見回饋循環和軟體開發生命週期。

就像我所說的,Gartner在寫這篇文章,早在2017年,它已經成爲行業的一個過程和一個運動。 在這之前,我已經很久了。 因此,這些不是全新的概念。 這只是我們多年來一直在努力的延伸。 事實上,DevOps是採用類似的DevOps模型,因爲您有開發方面,實際上是營運方面。

關鍵是,它正在儘快滿足您的所有安全需求,我的意思是,從設計開始,構建整個過程,直到您的船舶上的開發人員在開發方面,對不起, 右移更多地是操作觀察性方面。 今天我們將重點關注左移,但它基本上是在您測試掃描和驗證過程中進行的,最早是在您的測試中完成的。 在SDLC的開發生命週期中儘可能早。 例如,其中一件事是它所談論的, 再一次,這可以追溯到七年多的時間,比如擁有安全性,掃描和掃描您的開放原始碼第三方庫,存儲庫,代碼庫以及您編寫的代碼,設計,架構,整個九碼,以及從一開始就開始烘焙。 我所提供的一個例子是構建和安全掃描到您的開發人員使用的IDE中。 這只是一個例子,其中有很多例子。

因此,當他們編寫代碼時,他們可以立即獲得反饋。 哦,我剛打開大門,你知道,撞庫或續集注入,他們就像一個語法錯誤,他們在編寫代碼時就會遇到安全錯誤。 因此,他們可以立即解決這個問題,這樣他們就不會有客戶抱怨客戶或最終用戶被抓獲,你知道,一個月後,它就在那裏得到了處理。

最便宜,最快,最容易在一開始。 “那你打算怎麼辦?”

在成本方面,爲什麼左移如此重要?

Richard Yew: 噢,是的。 是的。 就像我認爲,成本實際上非常重要,大家知道,每個人都知道很多營運成本,你知道,任何組織,它就像開發一樣,對嗎? 研發過程。

因此,在成本方面,這就是爲什麼向左移動更爲重要的原因,對吧? 因爲我們要付出很多努力,並要討論爲什麼,所以我相信我們稍後會討論”如何”,但我們想要說明爲什麼這一點如此重要,因爲我們知道,我們有數據。

是的。 根據我們的研究,這表明您知道,如果您正在修復在發佈代碼和產品後發現的安全漏洞,那麼當您在進行威脅增加時,在設計階段發現該漏洞的成本是您所知道的15倍。 顯然,我們並不是說您知道,開發工作的早期階段將完全抓住所有安全漏洞。

這就是我們需要深入實施防禦的原因。 但是,當您瞭解八個階段時,您必須瞭解債務週期,生命週期,計劃,代碼, 構建,測試,始終喜歡監控和操作。 對。 您越仔細地觀察它們,就知道,就像當您發現安全漏洞時一樣,它所花費的成本就越高。

讓您的組織實際解決這個問題。 因此,我們討論的是在掃描中發現一個漏洞(在您已經向製作產品發佈了大量代碼後發生)與說,您知道, 就像在暫存環境中執行動態應用程式安全任務,以便在將該代碼交付生產之前儘早真正檢測它,對嗎?

Richard Yew: 您或許可以在發佈代碼縮減以緩解這一問題之前,提前實施某種虛擬修補。 但是,同樣重要的是,在您將任何內容放入IDE並開始考慮進行威脅建模之前,必須從流程的第一步開始就充分了解安全性。 嘿,設計的哪一部分可能容易被利用?

對DevOps和安全團隊的日常影響

Lauren Bradley: 是的,這些都是很好的分數,你們 我的意思是,從用戶的角度來看,如果DevOps或安全團隊從一開始就不實施,那麼這對於他們的日常體驗意味着什麼?

此外,我還想談談我們如何在DevOps生命週期中有效實施IT。

邁克爾·格里姆肖: 很棒的問題。 好問題。 讓我在最初的反應中真的很鈍。 是業內的每一位CEO,CTO,CFO–每一位工程師, 用戶–我們都想要的只是我們可以做的一個神奇的子彈,我們每天做什麼。

然後我們有一個神奇的安全子彈,你只需輕按開關,你的所有工作都會突然變得安全。 這是每個人都想要的,但這不是現實。 也就是說,人們問我們。 我想問他們,夢幻之地的天氣如何? 我聽說很好。 這種類型的年份是,如果你接近你的安全,你的資訊和你的發展,因爲這只是一個螺栓固定. 您知道,”哦,我要購買一些工具,在我們開發,構建和部署所有工具後,我要繼續使用這些工具,並確保所有工具的安全。”老實說,您購買的是非常昂貴的紙質材料。

這就是爲什麼,有人提到,這是關於人員,流程, 和工具。 這就是爲什麼這種辦法的整體連貫性如此重要。 你是,我們是多年,幾十年,如果它甚至可能。 老實說,我們從您的想法中學到了很多經驗教訓,您只是設計一些東西,並安裝安全工具,您就可以開始。

它會影響從您的成本到開發人員的速度和客戶的成本等所有方面。 我懷疑這方面的一個很好的例子是,幾乎所有在其職業生涯的某個階段收聽這一播客的人都處於一種新功能或新服務或類似服務的情況下,甚至只部署了修補程序和更新。 一切看起來都很好。 一切都執行良好。 然後突然你接到一個客戶的電話或資訊傳送器接到一個客戶的電話。 “我們剛剛被發現”,或者”我們剛剛發生了安全事件”,或者類似的事情。 原因是,好的,您已經部署了它,但可能掃描沒有完成執行,或者您沒有執行掃描,或者您沒有正確調整掃描,並且您剛剛引入了一個巨大的安全漏洞。

可能會影響您,但更重要的是,它會影響您的客戶。 DevOps的目的是要在一個連貫的過程中將所有這一切集中在一起,並避免這種情況。 這是關於削減成本。 當然。 這是爲了提高利潤嗎? 哦,在一個很大的方面。 但這也關係到消除公司和客戶的責任。

將安全性融入DevOps–就像一塊蛋糕!

YRichard: 絕對的。 你知道,說,你知道,談論烘焙,你知道,就像邁克使用了這樣一個術語連貫的整體。 這是真的。 這是非常強大的,這是一個非常有力的詞彙,說明爲什麼要把這種東西放到位,你知道,就像我在Edgio中所知道的那樣,就是個比喻。

我想用一堆比喻來說,我聽到了這麼棒的聲音。 我認爲類比可以作爲在任何組織內推動正確文化的堅實基礎,因爲我們都知道,作爲安全人員,我們的工作很大一部分是福音傳播。 它不僅涉及實施正確的技術和創建流程,還涉及大量內部行銷。

告訴員工對企業的安全至關重要,對吧? 因爲,作爲安全領導者,您知道,這不僅僅是人們經常想到安全性,比如在工作流中添加更多的流程層,但您知道,正確的思考方式是安全性如何加快業務?

安全性如何能真正帶來更多收入,因爲這是證明許多安全性的好方法,您知道,爲了確保組織的安全,您必須執行的其他安全性實作。 所以,我聽到的一個很棒的類比是,你知道,安全性不應該被當作蛋糕上的一個結冰,你知道,你是如何從蛋糕中烘焙出來,把所有的冰塊作爲最後一步,你知道, 當人們沒有安全性,ICD工作流,而且他們只是實施防火牆和API保護(您知道)時,這通常是人們在生產階段的最後階段所做的事情。 它應該是什麼,安全性,它就像麪粉,你知道, 它應該是從一開始就有的東西。

安全就像麪粉,你烘烤蛋糕。 然後,當安全性得到正確執行時,您就看不到它。 安全性的整個要點是,當它做得正確時,它應該已經被烤好了,而且看不到它。 它不應是造成挑戰的東西。 它不應該是使組織減慢的事情。

就像這樣,我曾經幫助向企業展示這一點爲什麼重要的原因是擁有強大的安全流程和安全技術文化,就像有強大的制動器。 在賽車中,你知道爲什麼每輛超級跑車都有很大的,你知道,真正大的,花哨的剎車,因爲它允許他們更快地轉彎。

它允許他們硬剎車。 它使他們能夠更快地前進,更難轉彎,對吧? 它讓他們贏得比賽。 因此,擁有強大的制動器與擁有強大的發動機同樣重要,對吧? 這就是我們應該從哲學角度看待安全問題的方式。 你知道,顯然,我們談論了很多關於高水平,對嗎? 所以,我們顯然想要深入瞭解這一點。 這一切都很好,但我們究竟要如何實施呢?

邁克爾·格里姆肖: 是的。 我認爲制動是一個很好的宣傳。 強力煞車,讓您控制自如。 我們前面的當前或道路充滿了曲線,髮型彎道以及所有這些,當然,在地板上,你不會觸碰剎車,但要導航一切,我認爲,這種剎車,我愛。 我喜歡這兩個類比,Richard,因爲這種制動類比給你控制,當你面對路緣,挑戰和意外的事情時,它給你更精細的控制。

李察尤: 很棒的電話。 順便說一下,我想澄清的是,我沒有想到這是來自於這個叫Eric Koh博士的人。 他有一個偉大的播客。 所以,我建議大家去看看。 但是的,我覺得在向企業解釋這個概念時是如此合適的,尤其是那些對這種概念有新認識的人。

問題重重,孤立的團隊和不斷變化的路線圖

Lauren Bradley: Richard,你談論你是如何說的,你提到的,你知道,如果是, DevOps已經完成,對吧? 你看不到它。 顯然,其中一種引人注目的看法是成本。 這也是孤立的團隊。 如果出現這些問題,爲什麼以前沒有遇到這些問題,那麼團隊之間也會出現脫節現象?

爲了快速或有效地解決這些問題,沒有進行哪些流程,哪些通信? 所以,我對你的問題是,你知道,在你的經驗,哪一個… 您知道,可能存在着缺乏透明度的問題。 決策緩慢,有可能浪費資源。

當您的團隊孤立時,當您認爲團隊在孤島中運作時,哪些問題往往最爲棘手?

Richard Yew: 是的,我會選擇這個。 我認爲,我個人在過去的生活中經歷過的一件事是,你知道, 當我們談論類似產品時,您知道,就像計劃一樣,有時您的安全團隊並不像CTO組織那樣嵌入研發部門,這一點很重要。

有時,在許多組織中,我們觀察到安全團隊和CTO組織之間的孤島,您會發現在事後,許多流程都是完成的。 因此,例如,我們遇到了這樣的情況:我們發佈了大量產品,發佈了大量代碼,因爲安全團隊和工程團隊之間只是沒有一種強大的通信協作。

您最終得出的結論是,您知道,一個組織必須遵守法規。 有時,具體的例子是,您有團隊每年一次或兩次進行掃描。 這些掃描的結果是什麼? 好吧,我會被告知:“嘿Richard,我們下一季度要放慢速度,因爲我們發現了幾百個不同的大和小的安全漏洞,你知道,也許像20個,像前20個,嚴重程度1到2個以上,而其他的,你知道, 這就是爲什麼,您必須專注於修復這些問題。”

組織內有一個SLA供您修正,您知道,最終發生的是,通過這樣做,您基本上只是把我的路線圖拿出來,而您只是把它們扔到下一季度。 因此,通過不向左移動,不真正實施此流程,只是在右側執行這些操作,我們基本上正在推動我們的路線圖,即產生收入的交付成果,這可能有助於擴展我們的業務。 我們可能會將其移至正確位置,這樣我們實際上就可以花費四分之一的時間來解決這些問題。

這就是爲什麼我說,對於組織和企業來說,這是非常昂貴的,因爲必須將路線圖項目轉移四分之一。 因此,您的新產品,特性和功能的所有發佈計劃都必須改變,對吧? 因爲您並未左傾練習。

其中有些事情可以通過更好的協作來改進,特別是組織內的應用程式安全團隊與開發團隊之間的協作。 這就是爲什麼我們看到許多組織開始有這個新概念。 你們知道,你們聽說過HR BP,你們知道,HR業務合作伙伴嵌入在不同業務部門中。

現在有了應用程式安全BP的概念。 因此,您將開始聽到應用程式SEC BP之類的術語,這可能成爲您工作人員的實踐。 幾乎就像工程團隊的半嵌入式經理,確保他們在開發工作流的每個步驟中提供正確的指導,工具和流程,例如,實施軟體組成分析,實施安全ID,實施所有黑箱和白箱任務, 爲了確保在開發生命週期的早期,我們能夠在開發之前(您知道)捕獲其中的一些問題。

Michael Grimshaw: 我愛這裏的一切。 好問題,Lauren。 我愛你剛纔說的一切,理查德。 因爲這是一個相關的成本。 你知道,如果有人,如果有人在他們聽到的產品中,等待,你知道,如果我左移,我就不必向右移動我的路線圖。

這就是他們耳邊的音樂。 但對於CFO,甚至營運或其他業務領域,您可能會說,好吧,這會產生什麼影響? 影響巨大。 您剛剛揉捏了您的銷售部門。 您對客戶產生了影響,因爲您擁有了許多客戶,特別是在安全方面。 我知道在平臺方面,當我與供應商交談時,我想知道路線圖是什麼,因爲,好吧,也許我必須找我的審計師,我需要得到補償控制,直到您在路線圖上發佈某些內容。 好吧,如果你告訴我,好吧,我預期在一個季度內交付的是四分之三。 我將開始關注其他供應商。 爲什麼? 因爲我對我的審計師有義務履行我的義務。

我也很喜歡Richard,你提出了審計員,以及真正的合規流程。 這是Lauren這裏的另一個例子,說明了硅化在哪裏可以徹底打擊事情。

如果您處於PCI,SOC,ISO,FedRAMP,任何這些不同的合規性框架的中間,並且您還沒有真正集成,您仍在抱着庇護心態,您可能會有合規或資訊安全的人員與您的審計員交談。 他們必須通過一層或兩層將其轉換爲工程方面,希望工程方面能夠實施所有預期的內容,然後這僅僅是爲了實現它。 然後所有的證據和掃描以及你需要提供給你的其他人的一切,祝你好運。

如果這實際上是經過翻譯的,我們都玩過,你知道, 小學的舊謠言遊戲是類似的功能,如果您有一個與審計員一起工作的集成團隊,他們立即知道如何將其轉化爲特定技術,並且您已經得到了掃描,您可以立即將其轉過來並放在上面 在規則集中,實時掃描並驗證,以及在與審計員會面時進行驗證。 您的所有證據都集中在一起。 這是一個徹底的改變遊戲. 它使您能夠更快地向客戶提供服務,而不是像Richard Said那樣,現在就改變您的路線圖。

Lauren Bradley: 是的。 因此,爲了更具體地說明這一點,我的意思是,CISO和AppSec領導人如何量化他們的指標,以瞭解成本影響,甚至只是總體成功?

Richard Yew: 你知道,這很有趣,因爲我們談論了很多關於爲什麼,你知道什麼,但讓我們深入瞭解一下如何,因爲我知道,這就是我們很多觀衆的目標。 我們在這裏並不是爲了給您流暢,高層的陳述。 我們希望在具體實施方法方面能提供一點價值。

也許我們可以彈出我們擁有的DevOps圖表,然後我們就可以大致瞭解如何優化步驟。 好的。 所以你可以看到傳統的安全測試,你知道,類似的線性執行,對吧? 這就像我們談論瀑布,就像你的計劃,你有,美麗,測試, 對嗎?

在操作員監控階段進行了大量安全測試。 因此,它位於右側。 所以,現在新的概念是,如果我們繼續下一張圖片,對吧? 這就是你可以找到100種不同的圖表品種。 就像,當您今天只是Google DevOps時,就像Mike剛纔所說的,這個概念已經存在了7年了,對吧? 您知道有些組織可能不會稱之爲這一週期。 有些組織稱之爲IT AppSec,對嗎? 因此,某些組織將其稱爲安全管道。 因此,這是安全管道代表什麼的粗略表示。 對嗎? 所以,從一開始,您就已經進入了規劃階段,對吧?

您可以進行威脅建模威脅分析。 在設計解決方案時,您儘量確保在所有建模過程中都已完成。 因此,在您編寫代碼時,您將進入第二階段,您的編碼階段,對吧? 你想要確保你有鉤。 您希望確保您擁有一個安全的IDE,當開發人員編寫代碼時,它確實實時地捕獲到了一些問題。 顯然,這不是銀彈,對嗎? 但這是一個額外的層,我們正在討論縱深防禦週期中的其他層。 現在,隨着我們的進程不斷向前推進,對吧? 一旦您承諾編寫代碼,對吧? 您想要確保您有一個流程–該流程能夠對您的所有代碼提供靜態掃描,以確保它們檢查自動依賴性,供應鏈,漏洞等。 與軟體補償分析一起,創建材料的軟體視圖,顯示您使用的軟體版本是什麼? 他們多少歲?

因爲,你知道,我不告訴你,我只是讀了一個統計數據一週或兩週前–25%的Apache Log4j的下載仍然是舊版本,仍然包含一個漏洞。 這讓我感到困惑的是,現在我們已經將近兩年了,它仍然是一個統計數據。 我不知道,是從12月初宣佈第一個Apache Log4j零日漏洞的兩年還是三年之後? 是2021年嗎? 因此,我們需要專注於做得更好,並安排這種軟體對話/分析,以確保您準確地知道您正在執行的軟體版本。

這很重要。 那麼,我們將轉向測試,對吧? 您想要確保您有內部測試,您知道,已實施動態測試以確保執行。 我們能夠測試正在執行的應用程式,並查看是否存在任何可利用的漏洞。

你知道這通常是通過模糊來完成的。 現在,在傳統的DevOps週期中,這裏沒有顯示哪些內容? 因爲這一切看起來都是相當標準的行業實踐,對嗎? 隨着我們的部署,監控和響應過程的不斷髮展。 過去,您會將Web應用程式防火牆,爬蟲程序管理器,API證券,他們所有的Web應用程式API保護解決方案置於響應和監控階段,對吧? 這是當您監視生產流量時,您可以確保沒有利用。

但需要考慮的是實際移動一些您已有的Web應用程式API保護。 也將它們向左移動。 將它們放在這種情況下,就圖片而言,這是向前邁出的一步。 在執行動態應用程式安全性測試時,請將它們置於測試階段,對吧? 爲什麼不通過生產安全機制對其進行測試? 因此,實際上,代碼之間存在着多少漏洞,其中有多少漏洞可以緩解,因爲重要的是,我們總是試圖通過使開發工作更快地執行來改善當前的應用程式週期生命週期。 在測試過程中發現安全漏洞的一般做法是基本上停止火車。 你回去吧,對吧? 您修復了代碼,然後重新釋放它們。 您再次完成八步。 但是,如果我告訴您,也許有辦法讓您說:”嘿,讓我們不要停止火車?”

讓我們繼續訓練。 讓我們在第四步之前對安全解決方案進行一次附加測試,這樣您就可以提前知道在生產中要進行哪些虛擬修補,這樣您就不必停下火車了。 您的火車繼續前進。 保持速度。

您發佈了帶有虛擬修補程序的代碼以緩解漏洞,然後在下一個週期中修復它們,希望這一週期很快就會發生。 這也是其中一種方法,即我們希望通過創新方法來教育和與客戶合作,以嘗試改進現有的CICD安全工作流。

邁克爾·格里姆肖: 理查德,我喜歡這一點。 我愛你把拉動的事實稱爲左移。 因此,只要您的遊戲計劃是,哦,讓我們把它投入生產,然後我們就會擔心它。 您將遇到問題,並且可以通過開發,部署和營運流程來緩解您的後援。 我愛你。” 我想說,一個類比和一個類似的類比,就像混沌猴。 這就是事情。 如果您有混沌猴在生產中工作,而您唯一要處理的是混沌猴在生產中,您將會有可怕的發展和操作經驗。

在投入生產之前,您必須對此進行規劃,設計和設計。 否則,你將陷入困境。

量化指標,瞭解成本影響和成功

Richard Yew: 是的,Lauren,我想回答之前的問題,現在我們只是看看整個DevOps生命週期,以及如何優化它,我們如何衡量成功。 什麼是最佳實踐,對吧?

很快。 所以我們要跟蹤成功。 因此,顯然您需要能夠量化成功。 對。 因此,如果您是安全領導,並且您正在嘗試衡量應用程式安全程序的成功程度,您可以瞭解其中一項,還有哪些指標可以幫助您,您可以瞭解的是,您擁有的應用程式覆蓋範圍是多少。 對嗎?

例如,您的組織中的所有應用程式或面向網際網路的應用程式中,是否有90/95%以上的應用程式屬於同一流程? 您是否有相同的標準化流程覆蓋範圍? 對。 包括軟體組成,分析,SAS,測試, 測試,測試,您知道,例如Web應用程式,API保護。

您是否已準備好這些資訊來跟蹤覆蓋範圍? 您發佈的頻率是多少?您需要多長時間回滾? 在哪個階段,由於您檢測到的安全漏洞,以及在生產階段必須回滾的頻率,而在生產階段必須回滾的頻率,您知道, 代碼提交階段,您正在執行靜態分析,因爲這顯然是回滾生產。

這將比在靜態代碼分析之後修復代碼要昂貴得多。 對。 另外兩個統計數據,你肯定想測量,正如勞倫早些時候提到的。 行業平均檢測我們稱之爲MTTD的時間爲200天。 因此,我相信,通過使用右移左進程的正確過程,您可以大幅減少同時檢測到,縮短得多。 因此,嘗試開始將度量標準彙總起來,以檢測從漏洞披露到檢測組織內的那棟建築所需的時間。

同時執行響應,對吧? MTTR同時解決決議的同時,對嗎? 行業平均爲70天,因此發現漏洞後的70天,對吧? 利用此功能,組織平均需要70天才能解決這一問題。 但有了這種開始追蹤,您能以多快的速度解決問題? 一旦您在軟體合成分析中發現J的易受攻擊的日誌版本,您可以用防火牆對其進行虛擬修補的速度有多快,或者您可以用多快的速度更新庫以使用不同的軟體,對吧? 因此,在一個非常成熟的組織中,我已經與一些組織進行了交談,他們實際上有四小時的時間來解決log4j事件的時間。

這是非常令人印象深刻的。 這說明了他們的DevOps流程的成熟度。 所以,我看過各種各樣的東西。 我也看到過客戶組織,他們需要數週甚至數月的時間來解決log4j等關鍵問題。 因此,當您嘗試整體改善流程時,請務必牢記這些指標。

Michael Grimshaw: 還有一些我想要加入的KPI是,就像在平臺方面一樣,當您處理基礎架構或在許多情況下,任何工程時,成本一直是這裏的一個重要因素。 但在過去幾年裏,隨着利率的上升,你知道,套管是最遠的VC貨幣,其中很多真的乾涸了,但遊戲的名稱和不斷上升的利率環境是一個非常有利可圖的節拍.

這裏有一個方面。 我喜歡這個技術。 顯然,您知道,平臺工程主管。 我喜歡技術方面,但特別是在過去幾年中,如果您在平臺上工作,就像我所說的那樣,基礎架構和類似的事情,財務方面,以及澄清和向您的CFO提供反饋的工作已經成爲當務之急。

因此,KPI是圍繞成本和收入,這是另一個,這也是這裏的一個重要方面。 我只想指出一些類似的事情,例如收入方面的問題。 如果您正坐在紅線討論中,如果您的客戶想要購買您的產品,則您將會經歷安全紅線,因爲安全性是每個人的心所在,而您的客戶希望確保他們受到保護。

他們希望在這裏儘量降低風險。 如果你帶着老學校的心態來找他。 哦,是的,我們開發的東西,然後我們讓,我們確保我們的infosec掃描它們和所有這些。 我已經參加了大量的紅線討論和合同討論,但這種討論根本就不再發生了。

在過去五年中,客戶風險部門和法律部門的調查問卷和調查問卷的級別已達到其他級別,更不用說10年了。 而且,能夠擁有完全集成的左移解決方案,以實現Web應用程式和API保護,這一切都是如此。 當您與其他人的律師交談時,這會大大地移動針。 這是什麼意思? 這意味着它允許您更快地完成交易。 如果您不練習左移,或者只是將其視爲附加組件, 我建議您回顧一下您的成交率以及成交率的故障位置,並特別關注安全紅線討論,因爲這些類型的產品問題通常被視爲成本中心。 他們不可以,他們可以解除收入限制,並且可以爲您節省大量資金。

在播客的早期階段,我們涵蓋了大量的成本節省,就內部成本而言,但在這裏,測試版帶來的收入我認爲很重要,因爲在這個不斷上升的利率世界中,有很多人關注這一點。

總結

YRichard: 這是一個很好的地方。 我很高興我們有點交換式帽子,就像戴上SDLC帽子,戴上您的商務帽子。 這很棒。 我希望我們分享的所有這些東西都能爲我們的觀衆帶來一點價值。

勞倫·布拉德利: 非常感謝你們。 我認爲這是一個很好的結尾。 我們已經討論了向左轉移的重要性,以及如何有效地將Web應用程式和API保護引入DevOps生命週期。 當然,如何有效地衡量成功. 是否有較少的誤報? 您的平均時間解析度是多少? 您的軟體配送速度有多快? 您是否獲得更多收入?

所有這些指標對企業的成功至關重要。 因此,我感謝Michael和Richard今天和我一起加入我。 我們非常高興,也感謝您與我們的觀衆一起加入我們的《超越邊緣》。 我們將在下一集見到您。

Tags

Just For You