隨著世界越來越多地轉(zhuǎn)向云和數(shù)字化一切，組織的風(fēng)險態(tài)勢也發(fā)生了變化。將安全嵌入業(yè)務(wù)已經(jīng)成為了組織發(fā)展必然的要求。

　　Netflix、Github、Square 等許多表現(xiàn)出色的公司已經(jīng)證明，將安全性集成到編寫、構(gòu)建和交付代碼中是改善整體安全狀況的最有效的方法之一，這也解釋了為什么 DevSecOps 為何會成為當前最火熱的安全趨勢。隨著 DevOps 的質(zhì)量和生產(chǎn)力優(yōu)勢的進一步凸顯，安全分層和DevSecOps 的 “左移”作為下一個合乎邏輯的步驟。

　　然而，即使在 2022 年，許多組織仍處于接入DevSecOps的早期階段。在安全開發(fā)的過程中，安全團隊扮演的角色仍然微乎其微，導(dǎo)致安全性不是從一開始就集成到 SDLC 流程中，而是在部署后通過漏洞掃描程序和滲透測試進行附加。

　　但值得慶幸的是，企業(yè)界已經(jīng)認識到安全開發(fā)的重要性，并開始嘗試實施 DevSecOps 實踐。云安全聯(lián)盟 （CSA） 的一份調(diào)查報告發(fā)現(xiàn)，89% 的組織正在積極采用 DevSecOps。這些組織中的大多數(shù)已經(jīng)進入到 DevSecOps 的規(guī)劃、設(shè)計或?qū)嵤┑牟煌A段，這代表著DevSecOps市場存在著旺盛的發(fā)展動力。

　　在這些早期階段，安全性必須受到開發(fā)團隊的擁抱，并在開發(fā)生命周期中根深蒂固。正確地“左移”意味著傾向于“安全是每個人的責(zé)任”的理念，并使安全與開發(fā)全流程無縫銜接，而不是發(fā)生在產(chǎn)品部署之后。

　　DevSecOps在落地實踐需要注重哪些因素？

　　● 文化和心態(tài)比工具更重要。首先應(yīng)該承認自動化和工具很重要，但采用 DevSecOps 始于文化轉(zhuǎn)變。從將“安全是安全團隊的事情”轉(zhuǎn)變?yōu)椤鞍踩谴蠹业墓餐?zé)任”，安全需要每一個人為之付出時間、努力和奉獻精神。

　　● 軟件成分分析（SCA） 必須成為優(yōu)先事項。供應(yīng)鏈攻擊、非授權(quán)軟件和像Log4Shell這樣的開源漏洞已經(jīng)清楚地表明了保護庫和依賴關(guān)系的重要性。今天的應(yīng)用程序依賴于來自第三方的大量軟件，一個軟件包中的安全漏洞可能會產(chǎn)生巨大的連鎖反應(yīng)。

　　●  DevSecOps工具需要消除安全方面的摩擦。為了使 DevSecOps 更有效，安全需要直接集成到軟件交付管道中。如果安全集成造成瓶頸并阻礙生產(chǎn)力，開發(fā)團隊就會嘗試繞過它們。安全性必須成為開發(fā)人員編寫、構(gòu)建和部署方式的一部分，而不是一個單獨的過程。這就是為什么 DevSecOps 工具必須與 DevOps 工作流緊密集成的原因。

　　● DevSecOps 工具需要處理合規(guī)性挑戰(zhàn)。許多企業(yè)必須遵守 HIPAA、PCI-DSS 和 SOX 等標準，但跟上所有的審計、掃描和要求通常需要大量的手動工作。一些簡化合規(guī)流程的代碼合規(guī)工具將會幫助企業(yè)解決這一問題，通過使用 DevSecOps 工具和實踐簡化合規(guī)流程，團隊可以展示業(yè)務(wù)價值并幫助創(chuàng)建積極的反饋循環(huán)，以更廣泛地采用 DevSecOps。

　　總而言之，大多數(shù)組織都希望采用 DevSecOps 實踐，但他們當前的實踐更接近于傳統(tǒng)的瀑布方法，而不是 DevSecOps 宣言中描述的敏捷實踐。因此，大多數(shù)企業(yè)面臨的直接障礙是克服與人員和流程相關(guān)的挑戰(zhàn)。對于 DevSecOps 服務(wù)和解決方案的提供商，重點應(yīng)該是消除集成安全性的摩擦，并幫助團隊團結(jié)起來，讓安全成為每個人的責(zé)任。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<