隨著世界越來越多地轉(zhuǎn)向云和數(shù)字化一切,,組織的風(fēng)險(xiǎn)態(tài)勢也發(fā)生了變化,。將安全嵌入業(yè)務(wù)已經(jīng)成為了組織發(fā)展必然的要求,。
Netflix,、Github,、Square 等許多表現(xiàn)出色的公司已經(jīng)證明,,將安全性集成到編寫,、構(gòu)建和交付代碼中是改善整體安全狀況的最有效的方法之一,,這也解釋了為什么 DevSecOps 為何會成為當(dāng)前最火熱的安全趨勢。隨著 DevOps 的質(zhì)量和生產(chǎn)力優(yōu)勢的進(jìn)一步凸顯,,安全分層和DevSecOps 的 “左移”作為下一個合乎邏輯的步驟,。
然而,即使在 2022 年,,許多組織仍處于接入DevSecOps的早期階段,。在安全開發(fā)的過程中,安全團(tuán)隊(duì)扮演的角色仍然微乎其微,導(dǎo)致安全性不是從一開始就集成到 SDLC 流程中,,而是在部署后通過漏洞掃描程序和滲透測試進(jìn)行附加,。
但值得慶幸的是,企業(yè)界已經(jīng)認(rèn)識到安全開發(fā)的重要性,,并開始嘗試實(shí)施 DevSecOps 實(shí)踐,。云安全聯(lián)盟 (CSA) 的一份調(diào)查報(bào)告發(fā)現(xiàn),89% 的組織正在積極采用 DevSecOps,。這些組織中的大多數(shù)已經(jīng)進(jìn)入到 DevSecOps 的規(guī)劃,、設(shè)計(jì)或?qū)嵤┑牟煌A段,這代表著DevSecOps市場存在著旺盛的發(fā)展動力,。
在這些早期階段,,安全性必須受到開發(fā)團(tuán)隊(duì)的擁抱,并在開發(fā)生命周期中根深蒂固,。正確地“左移”意味著傾向于“安全是每個人的責(zé)任”的理念,,并使安全與開發(fā)全流程無縫銜接,而不是發(fā)生在產(chǎn)品部署之后,。
DevSecOps在落地實(shí)踐需要注重哪些因素,?
● 文化和心態(tài)比工具更重要。首先應(yīng)該承認(rèn)自動化和工具很重要,,但采用 DevSecOps 始于文化轉(zhuǎn)變,。從將“安全是安全團(tuán)隊(duì)的事情”轉(zhuǎn)變?yōu)椤鞍踩谴蠹业墓餐?zé)任”,安全需要每一個人為之付出時(shí)間,、努力和奉獻(xiàn)精神,。
● 軟件成分分析(SCA) 必須成為優(yōu)先事項(xiàng)。供應(yīng)鏈攻擊,、非授權(quán)軟件和像Log4Shell這樣的開源漏洞已經(jīng)清楚地表明了保護(hù)庫和依賴關(guān)系的重要性,。今天的應(yīng)用程序依賴于來自第三方的大量軟件,一個軟件包中的安全漏洞可能會產(chǎn)生巨大的連鎖反應(yīng),。
● DevSecOps工具需要消除安全方面的摩擦,。為了使 DevSecOps 更有效,安全需要直接集成到軟件交付管道中,。如果安全集成造成瓶頸并阻礙生產(chǎn)力,,開發(fā)團(tuán)隊(duì)就會嘗試?yán)@過它們。安全性必須成為開發(fā)人員編寫,、構(gòu)建和部署方式的一部分,,而不是一個單獨(dú)的過程。這就是為什么 DevSecOps 工具必須與 DevOps 工作流緊密集成的原因,。
● DevSecOps 工具需要處理合規(guī)性挑戰(zhàn),。許多企業(yè)必須遵守 HIPAA、PCI-DSS 和 SOX 等標(biāo)準(zhǔn),但跟上所有的審計(jì),、掃描和要求通常需要大量的手動工作,。一些簡化合規(guī)流程的代碼合規(guī)工具將會幫助企業(yè)解決這一問題,通過使用 DevSecOps 工具和實(shí)踐簡化合規(guī)流程,,團(tuán)隊(duì)可以展示業(yè)務(wù)價(jià)值并幫助創(chuàng)建積極的反饋循環(huán),以更廣泛地采用 DevSecOps,。
總而言之,,大多數(shù)組織都希望采用 DevSecOps 實(shí)踐,但他們當(dāng)前的實(shí)踐更接近于傳統(tǒng)的瀑布方法,,而不是 DevSecOps 宣言中描述的敏捷實(shí)踐,。因此,大多數(shù)企業(yè)面臨的直接障礙是克服與人員和流程相關(guān)的挑戰(zhàn),。對于 DevSecOps 服務(wù)和解決方案的提供商,,重點(diǎn)應(yīng)該是消除集成安全性的摩擦,并幫助團(tuán)隊(duì)團(tuán)結(jié)起來,,讓安全成為每個人的責(zé)任,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
