整合資訊安全、變更管理與合規性的技術實踐#
在前五個部分中,我們探討了如何建立快速的流動(flow)、回饋(feedback)以及持續學習與實驗的文化。Part VI 將這些原則延伸至一個經常被視為 DevOps 阻礙的領域:資訊安全(Information Security)、變更管理(Change Management)與合規性(Compliance)。
為什麼需要這個部分?#
「資訊安全與合規性不允許我們這麼做」是實施 DevOps 最常見的反對意見之一。然而,DevOps 實際上可能是將資訊安全整合到技術價值流中每個人日常工作的最佳方式。本部分將說明如何同時運用流動、回饋與學習實驗,來達成資訊安全目標。
本部分涵蓋的主題#
- Chapter 22:讓資訊安全成為每個人每天的工作 – 將安全控制整合到開發迭代展示、缺陷追蹤、共享原始碼儲存庫與部署流水線中
- Chapter 23:保護部署流水線 – 將安全與合規性整合到變更審批流程中,重新分類變更類型,降低對職責分離的依賴,並為稽核人員提供充分的文件與證據
Part VI 的核心理念是:更好的安全性能確保我們對資料負責任且謹慎、能在安全問題演變為災難前恢復,最重要的是,讓我們系統與資料的安全性比以往更好。