Pato Short Mail #7 馃殌

Aug 20, 2024 6:54 am

馃憢


Dzi艣 Szymon poleca artyku艂 o wyzwaniach w budowaniu zespo艂贸w na przyk艂adzie modelu Spotify, a 艁ukasz komentuje najnowsze zasady bezpiecze艅stwa architektonicznego od The Open Group.


Sprawd藕 szkolenie z 艁ukaszem dla community Order of Devs - [28.08.2024] Szkolenie RKE2 i Rancher - uwaga, ze wzgl臋du na pierwsz膮 edycj臋 cena jest mega promocyjna. Zaraz ko艅cz膮 si臋 miejsca!


BTW, sprawd藕 te偶 jesienne Patoszkolenia!


Szymon: "Trudniejsze" decyzje w budowaniu zespo艂贸w

By艂 taki moment, 偶e ka偶da organizacja chcia艂a mie膰, albo "mia艂a" model zespo艂贸w ze Spotify. Wraz z czasem model ten obr贸s艂 w mity i legendy, a ka偶dy rozumia艂 to co us艂ysza艂 inaczej. Kolejne artyku艂y i prelekcje z trzeciej r臋ki nie pomaga艂y. Jednak czasem trafia si臋 na analizy naukowe kt贸re pracowa艂y z faktycznymi zespo艂ami i przeanalizowali w jaki spos贸b realizowane s膮 te niby oczywiste, ale w praktyce nie tak bardzo proste obszary Artyku艂 warty do przeczytania dla ka偶dego kto my艣li jak u艂o偶y膰 zespo艂y. Nie tylko developerskie.

艁ukasz: The Open Group Standard - Security Principles for Architecture

"Boomerzy" z The Open Group (ci od nudnego TOGAF-a) wydali "Security Principles for Architecture". Zasady bezpiecze艅stwa (wysokopoziomowe), kt贸re mo偶na stosowa膰 w ramach architektur korporacyjnych, architektur technologicznych, architektur rozwi膮za艅 i innych, jak to opisuj膮.


Ciekawe, 偶e dokument k艂adzie nacisk na automatyzacj臋 i "secure by design", co pokazuje ewolucj臋 my艣lenia. Wida膰, 偶e The Open Group dostrzega rosn膮ce znaczenie tych aspekt贸w w nowoczesnych architekturach (nigdy nie jest za p贸藕no 馃槄). W ca艂o艣ci brakuje mi troch臋 krytycznego spojrzenia na potencjalne konflikty mi臋dzy zasadami, bo czasem trudno je wszystkie pogodzi膰 w realnym 艣rodowisku.


Szybkie TL;DR:

  • Dokument definiuje 14 kluczowych zasad bezpiecze艅stwa dla r贸偶nych typ贸w architektur.
  • Por贸wnywanie bezpiecze艅stwa organizacji na podstawie tych zasad mo偶e by膰 szkodliwe - ka偶da ma swoje unikalne wymagania i kontekst.
  • 艢ledzenie i por贸wnywanie zgodno艣ci z zasadami mo偶e odwraca膰 uwag臋 od rzeczywistego zwi臋kszania bezpiecze艅stwa. ALE! Nie porzucajmy tego w 100%, tylko okresowo analizujmy, jak te zasady wp艂ywaj膮 na nasze bezpiecze艅stwo.
  • Zamiast walczy膰 o perfekcyjne wdro偶enie wszystkich zasad, lepiej skupi膰 si臋 na ci膮g艂ym doskonaleniu i dostosowywaniu ich do konkretnych potrzeb organizacji.


Same zasady:

  1. Support Risk Management
  2. Enable Organizational Agility
  3. Design Security to Balance Productivity with Protection
  4. Control Third-Party Solutions
  5. Utilize Secure by Design
  6. Verify and Validate Security Design
  7. Design for Compliance
  8. Assume Compromise
  9. Utilize Defense in Depth
  10. Design Systems to Fail Securely
  11. Support Security through Simplicity
  12. Support Automation of Security Processes and Activities
  13. Explicitly Verify Security Elements
  14. Leverage Established Security Control Frameworks


PS. Masz pytania? Pisz 艣mia艂o po drugiej stronie to nie bot na bazie GPT czy Claude 馃槑

Comments