Я верен своим традициям. Каждые новогодние праздники я читаю какую-либо интересную книгу (если успеваю, то и несколько). Этот год исключением не стал, а значит время для обзора на "Безопасный DevOps. Эффективная эксплуатация систем" Джульена Вехена
Книга то на самом деле не новая и, я бы сказал, популярная в определенных кругах. Тем не менее я про нее еще ничего не говорил. Пользуясь этим случаем, рассказываю 📖
Это тот редкий случай, когда книга не пытается быть умнее читателя. Она пытается спасти его от самого себя
Сразу обозначу ожидания. Это не инструкция, не мотивационный манифест и не сборник чек-листов в стиле "добавь SAST, добавь DAST и тд". Это книга про практическую эксплуатацию систем в реальном мире. Поэтому да, прод всегда горит, безопасность всегда мешает, люди вечно не довольны 😳
Читается она спокойно и скорее легко. Автор не пугает страшилками и не продает "единственно верный подход". Вместо этого он методично объясняет, почему DevOps может превратиться в фабрику инцидентов, а безопасность без понимания эксплуатации тупо застревает на бумаге и только
Больше всего мне понравилось, что книга постоянно возвращает читателя к мысли: система — это не код. Система — это код, люди, процессы, автоматизация, мониторинг, алерты, онколлы и товарищ инженер на дежурстве (даже, если он спит). И если хотя бы один из этих элементов вы игнорируете, никакой CI/CD вас не спасет 🙂
Очень хорошо раскрыта тема наблюдаемости. Если вы не понимаете, что происходит в системе прямо сейчас, у вас нет контроля. Логи ради логов, метрики ради дашбордов... это (как любила говорить моя преподша по матану в НИУ ВШЭ) самообман
Отдельно могу выделить отношение автора к автоматизации. Он не обожествляет ее и не демонизирует. Автоматизация воспринимается как инструмент, который либо снижает когнитивную нагрузку и количество ошибок, либо делает все еще хуже, если вы автоматизировали хаос. И вот это, кстати, очень болезненно узнается 💯
Про безопасность в книге говорят не как про отдельную функцию. Она вплетена в эксплуатацию на уровне минимизации привилегий, контроля изменений, воспроизводимости окружений, предсказуемости поведения системы. Все по существу
Важно понимать еще одну вещь. Это не книга для людей, которые только вчера узнали слово DevOps. И не книга для тех, кто ищет серебряную пулю. Она больше зайдет тем, кто уже спорил с разработчиками, сталкивался с инцидентами и тд (литерали ми) 🤔
Стиль изложения тоже понравился. Инженерный разговор взрослого человека с другим взрослым человеком. Лично мне такое нравится
Субъективная оценка — 10/10
Если вы работаете с продом, инфрой, CI/CD и все еще думаете, что для безопасности достаточно обмазать все сканерами, эту книгу стоит прочитать. Как-то так 👨💻
#обзор_книги
#информационная_безопасность
Дискуссия