Security as code: The best (and maybe only) path to securing cloud applications and systems
Статья на тему, как выстроить "безопасность как код" (SaC) по мнению McKinsey. Обратите внимание на картинку с описанием мер безопасности на каждом этапе процесса разработки (No developer access to binary artifacts, Deployments must be approved by product owner, ...).
Чего мне не хватает в подобных статьях, так это примеров. Особенно, если говорить про "SaC", то есть то, что вообще нечасто встретишь в enterpise. Для меня, например, одна из реализаций SaC - это внедрение подхода BDD с помощью Gauntlt. У кого-то SaC - это прежде всего "Compliance as Code" в виде Chef InSpec или OpenSCAP. У кого-то это реализация policy engine в виде OPA. Сами McKinsey приводят в качестве примера автоматическое шифрование ПДн, которое "запускается всякий раз, когда разработчик отправляет код."
А что для вас Security as Code?
#dev #ops
