DevOps 在當今的業(yè)務(wù)環(huán)境中扮演著至關(guān)重要的角色，在企業(yè)數(shù)字化轉(zhuǎn)型過程中，DevOps能夠幫助企業(yè)迅速實現(xiàn)自動化和創(chuàng)新。不過，DevOps的好處只有在考慮相關(guān)的安全風險緩解并嵌入到DevOps流程中時才能發(fā)揮作用。

本著這種精神，作為 CISO 我會向 DevOps 求職者提出以下五個問題。這些問題的一個共同點是促使人們理解 DevOps（或 DevSecOps，注意考慮安全因素）求職者是否將自己視為幫助解決安全風險管理流程的一部分，還是更狹隘地專注于從工程和 IT 視角來開展工作。

1. DevOps 的安全優(yōu)勢是什么？

一個完善的 DevOps 流程可以解決許多安全風險問題。擁有一位了解這一點并能夠清晰表達的工程師，并可以與你達成共識，該工程師將成為安全團隊的一員。通過 DevOps 實現(xiàn)的自動化允許在開發(fā)過程中建立更多的安全控制，它將正確實施這些控制的職責轉(zhuǎn)移到可能造成風險的開發(fā)者和工程師身上。認識到這種責任的價值并以此為基礎(chǔ)的求職者——例如具有更好的控制，如健全的配置管理、訪問控制、系統(tǒng)強化和資產(chǎn)清單——更有可能使用他們可用的自動化，而不是尋找繞過流程的方法。

2. 在 DevOps 模型和環(huán)境中，你遇到過哪些安全挑戰(zhàn)？

并非一切都按計劃進行，許多企業(yè)仍處于成熟 DevOps 計劃的早期階段。了解求職者已經(jīng)看到并必須克服的挑戰(zhàn)，是了解他們的另一種好方法，還可以收集其他成功解決問題的新策略。這個問題可以看出求職者對 DevOps 模型中安全概念重要性的理解深度。

解決問題的能力是任何角色的關(guān)鍵，在需要處理棘手場景的領(lǐng)域尤其如此，例如應(yīng)對來自業(yè)務(wù)的安全異常請求。求職者是那種接受風險并繼續(xù)前進的人，還是他們質(zhì)疑異常，并用合適的專業(yè)知識在風險和業(yè)務(wù)需求之間找到適當?shù)钠胶猓?/p>

3. 將安全融入到 DevOps 中，你有何經(jīng)驗？

了解求職者在以前的職位上如何將安全融入到 DevOps 中，有助于面試官向其學習，并可將部分見解和能力應(yīng)用到組織自己的 DevOps 流程和生命周期中。求職者可能來自一個在通過 DevOps 推動安全的成熟度曲線上走得更遠的企業(yè)，這可能對您的企業(yè)非常有幫助。

相反，如果求職者沒有將安全融入到 DevOps 中的經(jīng)驗，這將是個危險信號。越來越多的安全團隊將安全控制和流程嵌入到 DevOps 中，因此 DevOps 求職者應(yīng)該能夠回答這個問題并舉例說明 DevOps 工具和方法如何提高安全性。

這還可以讓您了解求職者對安全概念的認識和教育程度，并將幫助您確定是從零開始還是擁有良好的基礎(chǔ)。

4. 你喜歡開源還是收費工具？

對我來說，這個問題的正確答案是表現(xiàn)出一種微妙的情境思維。對于 DevOps 從業(yè)者來說，了解公司的文化、愿景、措施和政策對于使用不同類型的工具并識別針對特定用例的正確工具是很重要的。

理想的求職者應(yīng)該具有使用開源和收費工具的經(jīng)驗，了解其利弊，并以一種深思熟慮的方式將所有這些考慮在內(nèi)，考慮如何基于上述企業(yè)的目標做出這些決定。例如，你不想聽到有人堅持只使用開源工具，因為他們會試圖在不適合的情況下強制提供工具，這可能會引入新的或附加的安全性、合規(guī)性以及風險問題。

5. 你認為 DevSecOps 是數(shù)字化轉(zhuǎn)型的推動者還是阻礙者？

大多數(shù)數(shù)字化轉(zhuǎn)型項目進展迅速，并為公司帶來了新的機遇，其中可能包括最前沿的技術(shù)和能力。傳統(tǒng)模式往往過于緩慢和繁瑣，無法充分支持數(shù)字化轉(zhuǎn)型。通過 DevOps 和自動化可以消除的障礙越多，就有越多的企業(yè)能夠快速有效地進行數(shù)字化轉(zhuǎn)型。

也就是說，安全不能是事后諸葛亮。安全主管們正在尋找將DevSecOps（增加安全性）視為數(shù)字化轉(zhuǎn)型推動者的合作伙伴。那些將安全視為數(shù)字化轉(zhuǎn)型阻礙因素的從業(yè)者很可能經(jīng)常與安全團隊發(fā)生沖突。相反，樂于將安全嵌入到項目中的 DevOps 工程師和開發(fā)人員將有能力通過日常流程降低安全風險。

總之，盡管當前的就業(yè)市場為求職者創(chuàng)造了顯著的優(yōu)勢，但找到具有將安全融入 DevOps 和自動化經(jīng)驗的求職者是絕對值得的。作為一個將安全性引入企業(yè)并使其成為業(yè)務(wù)推動者的人，你必須尋找那些將成為你的安全團隊的一部分而非有危害的人。