为何安全开发要左移 DevSecOps如何落地实践?
2022-11-13
来源:安全419
随着世界越来越多地转向云和数字化一切,组织的风险态势也发生了变化。将安全嵌入业务已经成为了组织发展必然的要求。
Netflix、Github、Square 等许多表现出色的公司已经证明,将安全性集成到编写、构建和交付代码中是改善整体安全状况的最有效的方法之一,这也解释了为什么 DevSecOps 为何会成为当前最火热的安全趋势。随着 DevOps 的质量和生产力优势的进一步凸显,安全分层和DevSecOps 的 “左移”作为下一个合乎逻辑的步骤。
然而,即使在 2022 年,许多组织仍处于接入DevSecOps的早期阶段。在安全开发的过程中,安全团队扮演的角色仍然微乎其微,导致安全性不是从一开始就集成到 SDLC 流程中,而是在部署后通过漏洞扫描程序和渗透测试进行附加。
但值得庆幸的是,企业界已经认识到安全开发的重要性,并开始尝试实施 DevSecOps 实践。云安全联盟 (CSA) 的一份调查报告发现,89% 的组织正在积极采用 DevSecOps。这些组织中的大多数已经进入到 DevSecOps 的规划、设计或实施的不同阶段,这代表着DevSecOps市场存在着旺盛的发展动力。
在这些早期阶段,安全性必须受到开发团队的拥抱,并在开发生命周期中根深蒂固。正确地“左移”意味着倾向于“安全是每个人的责任”的理念,并使安全与开发全流程无缝衔接,而不是发生在产品部署之后。
DevSecOps在落地实践需要注重哪些因素?
● 文化和心态比工具更重要。首先应该承认自动化和工具很重要,但采用 DevSecOps 始于文化转变。从将“安全是安全团队的事情”转变为“安全是大家的共同责任”,安全需要每一个人为之付出时间、努力和奉献精神。
● 软件成分分析(SCA) 必须成为优先事项。供应链攻击、非授权软件和像Log4Shell这样的开源漏洞已经清楚地表明了保护库和依赖关系的重要性。今天的应用程序依赖于来自第三方的大量软件,一个软件包中的安全漏洞可能会产生巨大的连锁反应。
● DevSecOps工具需要消除安全方面的摩擦。为了使 DevSecOps 更有效,安全需要直接集成到软件交付管道中。如果安全集成造成瓶颈并阻碍生产力,开发团队就会尝试绕过它们。安全性必须成为开发人员编写、构建和部署方式的一部分,而不是一个单独的过程。这就是为什么 DevSecOps 工具必须与 DevOps 工作流紧密集成的原因。
● DevSecOps 工具需要处理合规性挑战。许多企业必须遵守 HIPAA、PCI-DSS 和 SOX 等标准,但跟上所有的审计、扫描和要求通常需要大量的手动工作。一些简化合规流程的代码合规工具将会帮助企业解决这一问题,通过使用 DevSecOps 工具和实践简化合规流程,团队可以展示业务价值并帮助创建积极的反馈循环,以更广泛地采用 DevSecOps。
总而言之,大多数组织都希望采用 DevSecOps 实践,但他们当前的实践更接近于传统的瀑布方法,而不是 DevSecOps 宣言中描述的敏捷实践。因此,大多数企业面临的直接障碍是克服与人员和流程相关的挑战。对于 DevSecOps 服务和解决方案的提供商,重点应该是消除集成安全性的摩擦,并帮助团队团结起来,让安全成为每个人的责任。
更多信息可以来这里获取==>>电子技术应用-AET<<