作者:Patrick Debois发表时间:2022.03.21链接:https://www.jedi.be/blog/2022/03/21/devsecops-developer-motivation-vs-business-prioritisation/
翻译:青铜译者-余丹
审校:青铜译者-陈康妮、黄金译者-刘志超
在DevSecOps社区中,很多关注都集中在如何让开发者更容易,并帮助他们激励自己,我相信它们通常只是指标不治本。从各种各样的对话中,我了解到开发人员提高安全性的动机是多方面的。许多人希望通过某种方式在开发群体中点燃一个火花,安全性就能神奇般地被提高。任命安全冠军、安全公会、添加更好用的工具来发现和修复更多的安全问题是普遍的做法。
我认为真正的问题通常是没有在待办事项中给出正确的优先级。在DevSecoOps计划中,常常发起人像 《星际迷航》中的Jean-Luc Picard说的那样,“就这么做”。待办事项列表是一个连续不断的开发、安全、运维的“待办事项”流。当然,如果这是一个在生产中非常紧急的安全问题,那么就应该调整一致。我赞赏最初的倡议,即通过工具修复代码缺陷来改善“安全卫生”。当“每件事”都被认为是重要和紧急的时候,问题就出现了。DevSecOps是关于如何在有限的资源下,首先做什么的艰难抉择:我喜欢一个新功能,还是安全维护?或者我应该给团队空间来解决安全问题?我经历过类似围绕开发和运维的讨论,这些讨论在几年前还是比较艰难的,但最终我们看到了更快进入生产并保持稳定的竞争性优势。安全直到现在仍然给人一种不同的感觉,它经常被视为浪费时间,而不是创造价值。然而,就像保险一样,当你需要时,它往往是非常值得投资的。在积压的待办事项中,在开发、安全、运维……和业务任务之间找到正确的平衡是DevSecOps真正的问题,这是一个困难的问题。
相关的,因此我个人并不喜欢“开发人员第一”这个词:待办事项列表是每个人都喊着“开发人员第一”、“运维第一”,“安全第一”的地方。另一个挑战是“业务第一”。我想强调“额外的”:团队越来越自主运作。这无疑有助于动机,但他们需要与业务保持一致。有时候业务需要同意把修复一些技术债放在优先位置,有时候安全需要把一些业务功能放在优先位置。如果你作为成年人成功地进行了这样的对话,每个人都能在对话中被倾听和权衡,那么你将拥有一个持久的DevSecOps文化。
为自己和团队考虑,把DevSecOps的讨论提升到待办事项列表的优先级上来,同时仍考虑开发人员的动机。
Views: 3,012