Un Manifeste DevSecOps : Différence entre versions

De Wiki Agile du @GroupeCESI
Aller à : navigation, rechercher
Ligne 21 : Ligne 21 :
 
'''Des services de sécurité consommables avec des API''' plus que des contrôles de sécurité obligatoires et de la paperasserie.<br/>
 
'''Des services de sécurité consommables avec des API''' plus que des contrôles de sécurité obligatoires et de la paperasserie.<br/>
 
'''Des scores de sécurité pilotés par le métier''' plus que la tampon de la sécurité.<br/>
 
'''Des scores de sécurité pilotés par le métier''' plus que la tampon de la sécurité.<br/>
'''Les équipes rouge<ref>l'équipe qui imite des attaquants (hackers) en utilisant leurs techniques.</ref> et bleue<ref>Les équipes qui utilisent leurs compétences pour s'en défendre.</ref> exploite les tests''' plus que se fier aux vulnérabilités analysées et théoriques.<br/>
+
'''Les équipes rouge<ref>L'équipe qui imite des attaquants (hackers) en utilisant leurs techniques.</ref> et bleue<ref>L'équipe qui utilise ses compétences pour s'en défendre.</ref> exploite les tests''' plus que se fier aux vulnérabilités analysées et théoriques.<br/>
 
'''Une surveillance proactive de la sécurité 24 heures sur 24 et 7 jours sur 7''' plus que pouvoir réagir après avoir été informé d'un incident.<br/>
 
'''Une surveillance proactive de la sécurité 24 heures sur 24 et 7 jours sur 7''' plus que pouvoir réagir après avoir été informé d'un incident.<br/>
 
'''Le partage de la détection avancée des menaces''' plus que conserver les informations pour nous.<br/>
 
'''Le partage de la détection avancée des menaces''' plus que conserver les informations pour nous.<br/>

Version du 24 mai 2020 à 13:19

Source : DevSecOps Manifesto


Traducteur : Fabrice Aimetti
Date : 24/09/2020


Traduction :

Grâce à "La sécurité sous forme de Code", nous avons appris et nous apprendrons qu'il existe tout simplement de meilleurs moyens pour les praticiens de la sécurité, comme nous, d'opérer et de contribuer à la valeur en limitant les tensions. Nous savons que nous devons adapter nos méthodes rapidement et encourager l'innovation pour que les questions de sécurité et de confidentialité des données ne soient pas laissées pour compte parce que nous avons été trop lents à changer.

En développant la sécurité sous forme de code, nous nous efforcerons de créer des produits et des services géniaux, de fournir des informations directement aux développeurs et, d'une manière générale, de favoriser l'itération plutôt que d'essayer de toujours trouver la meilleure réponse avant un déploiement. Nous fonctionnerons comme des développeurs pour rendre la sécurité et la conformité disponibles sous forme de services prêts à consommer. Nous ouvrirons et débloquerons de nouvelles voies pour aider les autres à voir leurs idées devenir réalité.

Nous ne nous contenterons pas de nous appuyer sur des systèmes d'analyse et des rapports pour améliorer le code. Nous attaquerons les produits et les services comme un intervenant extérieur pour vous aider à défendre ce que vous avez créé. Nous apprendrons les failles, chercherons les faiblesses et nous travaillerons avec vous pour proposer des mesures correctives au lieu de longues listes de problèmes que vous devrez résoudre vous-même.

Nous n'attendrons pas que nos organisations soient victimes d'erreurs et d'agresseurs. Nous ne nous contenterons pas de trouver ce qui est déjà connu, mais nous chercherons plutôt des anomalies qui restent encore à détecter. Nous nous efforcerons d'être un meilleur partenaire en valorisant ce qui vous tient à coeur :

Se pencher sur les problèmes plus que répondre toujours "non".

La science des données et de la sécurité plus que la peur, l'incertitude et le doute.
La contribution ouverte et la collaboration plus que les exigences de sécurité uniquement.
Des services de sécurité consommables avec des API plus que des contrôles de sécurité obligatoires et de la paperasserie.
Des scores de sécurité pilotés par le métier plus que la tampon de la sécurité.
Les équipes rouge[1] et bleue[2] exploite les tests plus que se fier aux vulnérabilités analysées et théoriques.
Une surveillance proactive de la sécurité 24 heures sur 24 et 7 jours sur 7 plus que pouvoir réagir après avoir été informé d'un incident.
Le partage de la détection avancée des menaces plus que conserver les informations pour nous.

Des opérations de mise en conformité plus que des tableaux et des checklists.


Notes

  1. L'équipe qui imite des attaquants (hackers) en utilisant leurs techniques.
  2. L'équipe qui utilise ses compétences pour s'en défendre.