DevOps 在當今的業務環境中扮演著至關重要的角色，在企業數字化轉型過程中，DevOps能夠幫助企業迅速實現自動化和創新。不過，DevOps的好處只有在考慮相關的安全風險緩解并嵌入到DevOps流程中時才能發揮作用。

本著這種精神，作為 CISO 我會向 DevOps 求職者提出以下五個問題。這些問題的一個共同點是促使人們理解 DevOps（或 DevSecOps，注意考慮安全因素）求職者是否將自己視為幫助解決安全風險管理流程的一部分，還是更狹隘地專注于從工程和 IT 視角來開展工作。

1. DevOps 的安全優勢是什么？

一個完善的 DevOps 流程可以解決許多安全風險問題。擁有一位了解這一點并能夠清晰表達的工程師，并可以與你達成共識，該工程師將成為安全團隊的一員。通過 DevOps 實現的自動化允許在開發過程中建立更多的安全控制，它將正確實施這些控制的職責轉移到可能造成風險的開發者和工程師身上。認識到這種責任的價值并以此為基礎的求職者——例如具有更好的控制，如健全的配置管理、訪問控制、系統強化和資產清單——更有可能使用他們可用的自動化，而不是尋找繞過流程的方法。

2. 在 DevOps 模型和環境中，你遇到過哪些安全挑戰？

并非一切都按計劃進行，許多企業仍處于成熟 DevOps 計劃的早期階段。了解求職者已經看到并必須克服的挑戰，是了解他們的另一種好方法，還可以收集其他成功解決問題的新策略。這個問題可以看出求職者對 DevOps 模型中安全概念重要性的理解深度。

解決問題的能力是任何角色的關鍵，在需要處理棘手場景的領域尤其如此，例如應對來自業務的安全異常請求。求職者是那種接受風險并繼續前進的人，還是他們質疑異常，并用合適的專業知識在風險和業務需求之間找到適當的平衡？

3. 將安全融入到 DevOps 中，你有何經驗？

了解求職者在以前的職位上如何將安全融入到 DevOps 中，有助于面試官向其學習，并可將部分見解和能力應用到組織自己的 DevOps 流程和生命周期中。求職者可能來自一個在通過 DevOps 推動安全的成熟度曲線上走得更遠的企業，這可能對您的企業非常有幫助。

相反，如果求職者沒有將安全融入到 DevOps 中的經驗，這將是個危險信號。越來越多的安全團隊將安全控制和流程嵌入到 DevOps 中，因此 DevOps 求職者應該能夠回答這個問題并舉例說明 DevOps 工具和方法如何提高安全性。

這還可以讓您了解求職者對安全概念的認識和教育程度，并將幫助您確定是從零開始還是擁有良好的基礎。

4. 你喜歡開源還是收費工具？

對我來說，這個問題的正確答案是表現出一種微妙的情境思維。對于 DevOps 從業者來說，了解公司的文化、愿景、措施和政策對于使用不同類型的工具并識別針對特定用例的正確工具是很重要的。

理想的求職者應該具有使用開源和收費工具的經驗，了解其利弊，并以一種深思熟慮的方式將所有這些考慮在內，考慮如何基于上述企業的目標做出這些決定。例如，你不想聽到有人堅持只使用開源工具，因為他們會試圖在不適合的情況下強制提供工具，這可能會引入新的或附加的安全性、合規性以及風險問題。

5. 你認為 DevSecOps 是數字化轉型的推動者還是阻礙者？

大多數數字化轉型項目進展迅速，并為公司帶來了新的機遇，其中可能包括最前沿的技術和能力。傳統模式往往過于緩慢和繁瑣，無法充分支持數字化轉型。通過 DevOps 和自動化可以消除的障礙越多，就有越多的企業能夠快速有效地進行數字化轉型。

也就是說，安全不能是事后諸葛亮。安全主管們正在尋找將DevSecOps（增加安全性）視為數字化轉型推動者的合作伙伴。那些將安全視為數字化轉型阻礙因素的從業者很可能經常與安全團隊發生沖突。相反，樂于將安全嵌入到項目中的 DevOps 工程師和開發人員將有能力通過日常流程降低安全風險。

總之，盡管當前的就業市場為求職者創造了顯著的優勢，但找到具有將安全融入 DevOps 和自動化經驗的求職者是絕對值得的。作為一個將安全性引入企業并使其成為業務推動者的人，你必須尋找那些將成為你的安全團隊的一部分而非有危害的人。