下个月，我们很荣幸能参加两个以DevSecOps为重点的特别活动： DevOps Connect:DevSecOps Days@RSAC 2018。4月16日在旧金山举行，在莫斯科南部，3楼，308室。DevSecOps Days是一整天的会议和小组讨论，重点是DevSecOps的最佳实践和模式，以及DevOps如何实现安全性。4月16日至20日，在旧金山的莫斯科内中心，所有持有RSA会议徽章的人均可免费参加DevSecOps日活动。4月18日，我们将与johnwillis一起主持我们的网络研讨会：您构建它，您就可以保护它—使用DevSecOps可以提高速度和更好的安全性。johnwillis和CloudBees的首席技术官anderswallgren（两人都将参加DevSecOps Days）将分享一些建议，允许开发者和运营商通过在交付过程中尽早包含安全性来提高交付速度和加强管道。在DevSecOps日前以及我们与John的网络研讨会之前，我们想分享专家们在另一个行业讨论会上分享的DevSecOps的一些提示和新兴趋势—最近在旧金山举行的DevSps企业峰会。本次DevSecOps小组讨论的参与者包括软件交付和安全专家CloudBees首席技术官Anders Wallgren、CSRA数字服务总监Paula Thrasher、SJ Technologies DevOps和数字实践副总裁John Willis、Cobalt安全战略副总裁Caroline Wong和Sonatype架构师Curt Yanko和Rob Stourd. Alan Shimel主编DevOps.com网站主持会议。这些领导人讨论了DevOps运动中出现的一些主要安全趋势，包括工具、技术以及如何在整个组织范围内建立安全文化。继续阅读从本次讨论中获得的重要经验：Thrasher说，安全不仅会对整个组织构成真正的威胁，而且会对各个利益相关者构成真正的威胁，这会造成无法抑制的恐惧感："‘一个喉咙噎住’的事情是真实存在的。一直到董事会。这一现实改变了整个对话，因为整个链条上的人都会觉得‘我可能会失业。’。当你去监狱的时候，我可以道歉认真对待安全问题的第一步是交流，沃格伦说："我们必须认真对待安全问题。它从沟通开始，了解彼此的动机、目标，并了解其中的复杂性。"Willis说："sidneydekker关于一种恢复性的文化，一种公正的文化，以及你如何不能仅仅责怪别人，都应该归咎于文化。即使是那个人，也是这个系统吸引和创造了那个人。如果你试图建立惩罚性的恢复性司法，你就不会走上高绩效的道路……你永远不会有任何进展。""归根结底，我们都在朝着同一个目标努力，"黄解释说："一个保安可能会认为，你应该在一个价值5美元的资产周围设置200美元的围栏。那没有任何意义。DevOps存在的原因是为了支持业务。安全性存在的原因是为了支持业务。"坦率地说，今天需要更多的资金用于安全领域，Yanko说："我们正处在一个有着巨大机会、技术和新的思考方式的时代。我们必须审视我们的预算并重新调整。我认为，安全预算严重偏离了今天我们需要将钱花在哪里的问题上。"安全性不是一件容易的事情，但是通过团队协作而不是在筒仓中实践安全措施，Thrasher建议说："你无法控制复杂性。工程很难，安全更难。你不能控制的是你的团队在他们生活的环境中的表现。作为一个团队，你可以做的一件事就是，作为一个团队（希望包括安全性），练习团队防守。"Wallgren解释说："安全性好的一个关键是要知道你要运什么货，要知道你的材料清单。不管你用什么样的产品，或者你用什么样的流程去做，都要去做，因为在某个时候你必须回答这个问题。你不想花几个小时或几天的时间来回答。"就像开发人员和运营部门最初邀请QA参加DevOps聚会一样，安全人员也需要这样做，威利斯建议说："与其说‘你在那里，我们在这里’，不如使用QA模型，说服安全人员，我们需要他们的元和大脑在各个级别的管道中——在IDE，当你签入代码时，在只需扫描他们的弱点，就可以了。"Yanko说，对话在安全方面和在DevOps中一样重要："只要开始与安全部门进行对话，因为这就是DevOps的意义所在。然后你将努力获得可见性，以及如何减少平均检测时间或平均修复时间。这是所有DevOps永恒的主题。安全也不例外。""现在比以往任何时候都更为重要的是要积极主动地做好安全工作，"黄说："今天，你的组织将遭到破坏，你的组织将受到损害。问题是，你能多快察觉到这一点，又能多快地作出反应？这是另一种思维方式。这与其说是搭起篱笆，不如说是你是否准备好应付不可避免的事情。"观看会议的完整录音：如果您想看到更多这样的会议，请务必参加我们在伦敦举行的DevOps企业峰会（2018年6月25日至26日）和DevOps企业峰会（拉斯维加斯）（2018年10月22日至24日）。去伦敦的早鸟票有效期到3月19日！请关注拉斯维加斯的注册和节目更新。更多DevSecOps资源：下载电子书：DevSecOps:DevOps和自动化增强安全性和法规遵从性的5种方式注册参加我们即将举行的网络研讨会：您构建它，您就可以保护它：通过DevSecOps Register，可以获得更高的速度和更好的安全性即将进行持续讨论：敬请关注我们5月1日的《c9d9》视频播客，该视频播客也将专门为DevSecOps制作，专题讨论小组成员John Willis、Paula Thrasher、Chenxi Wang、Derek E.Weeks和Alan Shimel。