问题描述
在传统的独立开发和运维组织中,会建立程序和流程,以确保与软件供应商和供应商之间的关系得以维护。这些关系存在的目的是,当发现漏洞时,运维团队能够识别业务影响并采取适当的缓解措施。如果组织是基于ITIL服务管理原则构建的,那么它们可能会执行以下一项或全部操作:供应商管理,供应商管理和风险管理。但在采用DevOps模式的组织中,如果没有独立的运维角色,该如何维护供应商/供应商关系,以便在公开漏洞时,团队能够联系供应商以了解修复和缓解措施呢?
解决方案
在DevOps方式下,确保软件供应商/供应商管理的流程和策略仍然至关重要。以下是一些可能的策略和操作步骤,可以在这种情况下使用:
1. 建立信息安全团队
首先,建立一个信息安全团队,负责监测和检测漏洞。这个团队将负责技术信息安全管理。当使用诸如Nessus等工具进行定期扫描或由信息安全社区发布漏洞时,该团队将这些漏洞传递给组织内的每个信息安全官员。
2. 评估漏洞的影响
信息安全官员负责评估漏洞,确定漏洞的严重程度以及对业务应用程序和环境的影响。然后,将这些信息传递给适当的开发经理。
3. 开发经理的角色
开发经理负责供应商和供应商管理。业务应用程序被分配给不同的开发经理。开发经理与供应商或自己的Scrum团队合作,解决其领域内的漏洞。如果需要专业建议,信息安全官员将提供帮助。
4. 解决漏洞
在漏洞得到确认后,开发团队将与供应商合作,采取必要的措施来修复和缓解漏洞。这可能涉及到代码修复、安全补丁的应用或其他必要的措施。
5. 监控漏洞修复情况
开发经理应该持续监控漏洞修复情况,确保供应商按照约定的时间内完成修复工作。如果存在任何问题或延迟,开发经理需要与供应商沟通,以确保及时解决。
6. 风险管理
风险管理是确保供应商/供应商关系持续有效的关键步骤。开发经理应该持续评估供应商和供应商的风险,采取适当的措施来降低潜在的风险。
结论
在DevOps方式下,尽管没有独立的运维角色,但仍然可以通过合理的策略和流程,有效地维护软件供应商和供应商关系,并在漏洞公开时采取适当的行动。建立信息安全团队,明确开发经理的责任,确保及时修复漏洞以及持续风险管理都是关键的操作步骤。
请注意,以上策略可以根据组织的具体情况进行调整和定制,以便在DevOps环境中实现最佳的供应商/供应商管理实践。