5 главных вопросов на собеседовании, которые стоит задать кандидатам в DevOps в 2022 году



DevOps играет решающую роль в современном бизнес-ландшафте, позволяя организациям быстро автоматизировать и внедрять инновации в то время, когда проекты цифровой трансформации делают ставку на эти возможности. Тем не менее, на преимущества DevOps можно полагаться только в том случае, если в процессы DevOps учтено и внедрено снижение соответствующих рисков безопасности.

В этом духе, вот пять основных вопросов, которые я бы задал кандидатам на работу в DevOps, проводя с ними собеседование. Общая нить в вопросах ведет к пониманию того, рассматривают ли кандидаты DevOps (или DevSecOps, помня об учете соображений безопасности) себя как часть уравнения, помогающего решать вопросы управления рисками безопасности, или они более узко сосредоточены на простом выполнении своей работы из с точки зрения инженерии и ИТ.

1. Каковы преимущества безопасности DevOps?
Надежный процесс DevOps может устранить многие риски безопасности. Наличие инженера, который понимает это и может сформулировать это, дает вам понять, что есть точки соприкосновения, на которых можно строить, и этот инженер будет частью команды безопасности. Автоматизация с помощью DevOps позволяет встроить в процесс разработки дополнительные элементы управления безопасностью; он перекладывает ответственность за правильное внедрение этих элементов управления на разработчика и инженеров, которые потенциально создают риск. Кандидаты, которые осознают ценность этой подотчетности и опираются на нее — например, с помощью более эффективных средств управления, таких как надежное управление конфигурацией, контроль доступа, укрепление системы и инвентаризация активов, — с большей вероятностью будут использовать доступную им автоматизацию, а не искать обходной путь. процессы.

2. С какими проблемами безопасности вы сталкивались в моделях и средах DevOps?
Не все идет по плану, и многие организации все еще находятся на ранних стадиях разработки своих программ DevOps. Понимание того, с какими трудностями сталкивался кандидат и с какими ему пришлось столкнуться, — еще один отличный способ узнать о кандидате, а также, возможно, подобрать новые стратегии, которые оказались успешными при устранении неполадок в других местах. Этот вопрос может показать глубину понимания кандидатом важности концепций безопасности в моделях DevOps.

Возможности решения проблем являются ключевыми в любой роли, и это особенно верно в области, которая требует работы в сложных сценариях, таких как навигация по запросам бизнеса на исключения безопасности. Является ли кандидат тем человеком, который просто принял риск и пошел дальше, или он поставил под сомнение исключение и привлек нужный опыт, чтобы найти надлежащий баланс между риском и потребностями бизнеса?

3. Какой у вас опыт интеграции безопасности в методы DevOps?
Услышав, как люди интегрировали безопасность в DevOps на предыдущей должности, интервьюер может научиться чему-то у кандидата и потенциально применить некоторые из этих идей и возможностей в собственных процессах и жизненном цикле DevOps в организации. Кандидат мог прийти из организации, которая находится намного дальше по кривой зрелости обеспечения безопасности с помощью DevOps, что может быть очень полезно для вашей организации.

И наоборот, если у кандидата нет опыта интеграции безопасности в DevOps, это будет красным флажком. Все больше и больше групп безопасности встраивают элементы управления и процессы безопасности в DevOps, поэтому кандидату DevOps следует ответить на этот вопрос и привести примеры того, как инструменты и методология DevOps привели к повышению безопасности.

Это также дает представление о том, насколько хорошо кандидат осведомлен и подготовлен в отношении ключевых концепций безопасности, и поможет вам определить, будете ли вы начинать с нуля или у вас есть хороший фундамент, на котором можно строить.

4. Вы предпочитаете инструменты с открытым исходным кодом или коммерческие?
Для меня правильным ответом на этот вопрос было бы продемонстрировать тонкое, ситуативное мышление. Практикам DevOps важно понимать культуру, видение, методы и политику компании в отношении использования различных типов инструментов, а также понимать, какой инструмент является правильным для конкретного случая использования.

Идеальный кандидат должен иметь опыт работы как с открытым исходным кодом, так и с коммерческими инструментами, понимать плюсы и минусы и учитывать все это в продуманном подходе к тому, как работать с этими решениями на основе целей организации, указанных выше. Чего вы не хотите слышать, так это того, кто, например, упорно использует инструменты с открытым исходным кодом исключительно потому, что они затем попытаются принудительно использовать инструменты для ситуаций, которые им не подходят, потенциально вводя новые или дополнительные меры безопасности, соответствия, и проблемы риска.

5. Считаете ли вы, что DevSecOps больше способствует или препятствует цифровой трансформации?
Большинство проектов цифровой трансформации развиваются с большой скоростью и предполагают новые возможности для компании, которые могут включать в себя передовые технологии и возможности. Устаревшие модели часто слишком медленные и громоздкие, чтобы адекватно поддерживать цифровую трансформацию. Чем больше барьеров можно устранить с помощью методов и автоматизации DevOps, тем больше организаций смогут быстро и эффективно трансформироваться.

Тем не менее, безопасность не может быть запоздалой мыслью. Лидеры в области безопасности ищут партнеров, которые рассматривают DevSecOps (добавление безопасности в сочетание) как средство цифровой трансформации. Практики, которые рассматривают безопасность как препятствие цифровой трансформации, скорее всего, будут регулярно конфликтовать с командой безопасности. И наоборот, инженеры и разработчики DevOps, готовые внедрить средства безопасности в свои проекты, будут оснащены необходимыми средствами для снижения рисков безопасности с помощью своих обычных повседневных процессов.

В заключение, хотя текущий рынок труда создает значительные преимущества для соискателей, безусловно, стоит найти кандидатов, которые имеют опыт работы с моделями, которые внедряют безопасность в свои процессы DevOps и автоматизацию. Как человек, ответственный за обеспечение безопасности в организации и превращение ее в средство содействия развитию бизнеса, вы должны искать людей, которые будут работать в составе вашей команды безопасности, а не во вред.

https://cyberxhack.org/