近年来,在将安全性集成到软件开发生命周期方面取得了重大进展。然而,软件安全性必然是动态的和不断发展的,这也不可避免地导致了一些倒退。好消息是,与任何挑战一样,有一些积极的经验教训可以让我们预见到2019年DevSecOps的发展方向。
安全是共同责任
在过去的几年里,最大的陷阱之一是DevOps没有正确地接受“安全即代码”的哲学,这是DevSecOps的核心。鉴于威胁概况在不断变化,安全团队和发布工程师需要以灵活的方式进行协作。好消息是,这正在发生。根据Gartner的数据到2019年,“超过70%的企业DevSecOps计划将整合针对开源组件和商业包的自动化安全漏洞和配置扫描,而2016年这一比例还不到10%。”
然而,考虑到组织上的挑战,转向开发secops并不总是容易的。从历史上看,安全一直在自己的世界中运行,这导致了瓶颈。只有弥合了传统IT和安全之间的差距,才能实现持续交付可靠代码的集成管道的目标。DevSecOps要求即使是非it涉众也要承认安全是一项共同的责任,这在大多数企业中很少出现。
快速安全
2019年,组织将继续专注于在弹性、敏捷的环境中结合两个传统上不一致的因素——安全性和速度。使用这种方法,安全问题在出现时就得到处理,而不是在以后的某个日期。如果处理得当,它们可以在每个相关迭代中得到解决,而不会减慢交付周期。这是至关重要的,但是,由于许多DevOps环境没有适当地解决本机应用程序中的安全性问题,以安全的方式扩展软件将继续给许多开发人员带来严峻的挑战。
利用云
不可避免地,市场将看到独立的安全团队从专门从事分层代码的工作过渡到与一系列利益相关者合作的方式。为此,云服务将在2019年发挥越来越大的作用。过去的缺陷,静态层被添加到响应式和特别的方式,将逐渐被采取预防性方法的安全控制所取代,并利用云来允许持续集成。
阅读更多:在采用过程中你必须克服的5个DevOps挑战]
弥合组织差距
在这里,人的因素至关重要,个人在对漏洞的早期检测做出有意义和快速反应方面所扮演的角色也是如此。自动化构建可以加速开发周期,并在质量保证测试中加快响应时间,这将给安全团队带来更大的压力,要求他们及时交付正确的修复。这也将给高管层带来更大压力,安全专业人员的增加已经引起了一些摩擦。
2019年的挑战将是将DevSecOps视为可行的、长期的软件解决方案的推动者,关键的是,它不会减缓开发速度。最重要的是,将安全性融入DevOps对于任何产品的长期生存能力都至关重要。
寻找合适的员工来建立更好的安全实践
在过去的几年中,组织已经了解到的一件事是,安全漏洞并不总是由IT组甚至IT安全团队首先观察到的。这是一个令人不安甚至可怕的现实,然而一些组织在招募更广泛的员工基础方面行动迟缓,对违规行为保持警惕。尽管如此,必要的文化转变正在发生,我们将在2019年看到更多的证据。
DevSecOps是一种持续多年的现象,它正在加速发展:根据Gartner的数据,到2021年,DevSecOps实践将嵌入80%的快速开发团队。这比2017年的15%有了很大的增长。
[It外包服务| Perficient Latin America部署高性能敏捷团队]
我们可以期待继续看到由人力资源、财务甚至(这是令人担忧的)B2B甚至B2C客户发现的软件缺陷的例子。当然,这些不同的涉众不会编写代码,但他们的输入没有理由不能在DevSecOps中发挥重要作用。这是一个重大的文化转变,但绝非不可能;它可以通过技术来实现,通过持续的渗透和自动化测试来激励开发人员始终保持警惕,同时他们与整个企业的员工保持沟通(并且保持友好关系)。
以史为鉴,放眼未来
这种广泛的文化转变是一种重要的开发ops趋势的一部分,这种趋势直接受到过去几年的惨痛教训的启发,在过去的几年里,对于一些组织来说,违规行为已经带来了重大的声誉风险。商业界逐渐认识到,每个企业都是数字企业,软件安全是企业生存的核心。也就是说,许多公司仍然固守着老派的方法,即安全团队孤立工作,并通过繁重的测试来减慢速度。
整个2019年,DevSecOps将帮助企业在面对运营技术系统攻击以及云环境中的网络安全威胁时保持安全。对于许多组织来说,挑战将是进行代码分析、遵从性监视、威胁调查和漏洞评估,同时采用DevSecOps所需的变更管理。
这是一个很高的要求,但是包含来自安全组之外甚至It之外的涉众的输入对于确保企业尽可能安全是至关重要的。DevSecOps在面对影子IT带来的威胁时将变得更加警惕,安全培训将不可避免地发挥更重要的作用。在安全环境中,数字工作者可能不仅仅是潜在的泄漏端点——他们可能是关于如何保持企业IT系统安全的有价值数据的来源
