<p>对于部门之外的人来说,IT和安全团队经常被混为一谈,是处理技术问题的团队。但其实IT团队和安全团队有不同的任务和目标,甚至他们彼此之间还会产生冲突,比如迫切的deadline和保证安全之间的“矛盾”。</p><p>在过度简化的风险下,IT面临着巨大的压力,需要快速行动,调整和推出DevOps。同时,安全部门的任务是减轻对现有产品的威胁,并确保新版本尽可能安全。</p><p>如何让IT团队和安全团队之间更好地进行协作?</p><h3><font color="#c24f4a">策略 1: 确定共同的目标</font></h3><p>有些IT和安全团队依赖于多个、不同的、可能相互冲突的工作任务,工作目标很可能导致互相冲突。</p><p>两个团队都有不同的任务,但可以通过协调来达到共识,一起为共同的目标来工作。</p><h3><font color="#c24f4a">策略 2:拥抱DevSecOps</font></h3><p>DevSecOps并不是简单地将安全性抛到DevOps中。而是进行一个从根本上的转变,通过调整优先级,安全从一开始就成为DevOps处理和集成不可或缺的部分。</p><p>采用DevSecOps还可以确保安全不会因为在开发后期介入而减缓进度,确保安全性不会拖慢开发速度。它还有助于确保IT团队不会推出可能存在安全漏洞、影响安全团队目标的产品,从而提高安全性。因为在DevSecOps过程中,一系列安全测试,如<a href="https://www.woocoom.com/" target="_blank"><font color="#c24f4a">静态代码检测</font></a>、动态测试及交互式测试等,可以在开发的同时及时发现<b>代码缺陷</b>及可能存在的<b>安全漏洞</b>,从而尽快调整修复。</p><h3><font color="#c24f4a">策略 3:创建上下文</font></h3><p>即使是最强大的IT团队,打补丁也是一项艰巨的任务。在没有安全上下文的情况下打补丁是一件非常忙碌的工作。基于风险的漏洞管理在威胁检测和补救方面有很大的不同,通过创建基于风险的自动情报来创建上下文,可以确保团队在正确的时间专注于正确的威胁。</p><p><!--StartFragment--> <!--EndFragment--></p><p>当两个团队通过正确的策略来工作时,IT 和安全性可以相互提升,而不是发生冲突。</p>