[Перевод] При создании DevSecOps не забывайте о SRE

Введение

Сегодня часто говорят о «разрыве между безопасностью и разработкой» или о «разрыве в безопасности DevOps». В этом есть смысл. Действительно, есть необходимость отделить безопасность от процессов разработки и DevOps.

Однако на удивление меньше внимания уделяется разрыву между разработкой надежности и безопасностью. При всем том, что мы говорим о DevSecOps, мы почти не обращаем внимания на важность более централизованной интеграции безопасности в работу по управлению инцидентами, выполняемую SRE.

Объясним, почему это является проблемой и что могут сделать SRE, чтобы решить ее.

Приоритеты SRE в сравнении с приоритетами безопасности

Когда вы являетесь техническим специалистом, устраняющим проблемы с надежностью, безопасность, вероятно, не является вашим главным приоритетом. Восстановление процесса обслуживания пользователей как можно быстрее — вот ваш главный приоритет. На втором плане у вас, наверняка, стоит обеспечение того, чтобы данный инцидент не повторился.

Если вы и будете думать о безопасности, то, скорее всего, только после того, как инцидент будет окончательно устранен. Возможно, вопросы безопасности всплывут во время анализа инцидента, если вы не забудете его провести.

Эта тенденция ставит SRE в противоречие с интересами инженеров по безопасности, чье основное внимание сосредоточено на безопасности, а не на надежности. Если вы инженер по безопасности, то хотите быть уверены, что любое исправление, которое SRE применяют во время урегулирования инцидентов, является наиболее безопасным решением. Будет ли это самое быстрое и надежное исправление — это не ваша проблема (это проблема SRE).