《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 為何安全開發(fā)要左移 DevSecOps如何落地實(shí)踐?

為何安全開發(fā)要左移 DevSecOps如何落地實(shí)踐?

2022-11-13
來源:安全419
關(guān)鍵詞: DevSecOps 安全開發(fā)

  隨著世界越來越多地轉(zhuǎn)向云和數(shù)字化一切,組織的風(fēng)險(xiǎn)態(tài)勢(shì)也發(fā)生了變化。將安全嵌入業(yè)務(wù)已經(jīng)成為了組織發(fā)展必然的要求。

  Netflix、Github、Square 等許多表現(xiàn)出色的公司已經(jīng)證明,將安全性集成到編寫、構(gòu)建和交付代碼中是改善整體安全狀況的最有效的方法之一,這也解釋了為什么 DevSecOps 為何會(huì)成為當(dāng)前最火熱的安全趨勢(shì)。隨著 DevOps 的質(zhì)量和生產(chǎn)力優(yōu)勢(shì)的進(jìn)一步凸顯,安全分層和DevSecOps 的 “左移”作為下一個(gè)合乎邏輯的步驟。

  然而,即使在 2022 年,許多組織仍處于接入DevSecOps的早期階段。在安全開發(fā)的過程中,安全團(tuán)隊(duì)扮演的角色仍然微乎其微,導(dǎo)致安全性不是從一開始就集成到 SDLC 流程中,而是在部署后通過漏洞掃描程序和滲透測(cè)試進(jìn)行附加。

  但值得慶幸的是,企業(yè)界已經(jīng)認(rèn)識(shí)到安全開發(fā)的重要性,并開始嘗試實(shí)施 DevSecOps 實(shí)踐。云安全聯(lián)盟 (CSA) 的一份調(diào)查報(bào)告發(fā)現(xiàn),89% 的組織正在積極采用 DevSecOps。這些組織中的大多數(shù)已經(jīng)進(jìn)入到 DevSecOps 的規(guī)劃、設(shè)計(jì)或?qū)嵤┑牟煌A段,這代表著DevSecOps市場(chǎng)存在著旺盛的發(fā)展動(dòng)力。

  在這些早期階段,安全性必須受到開發(fā)團(tuán)隊(duì)的擁抱,并在開發(fā)生命周期中根深蒂固。正確地“左移”意味著傾向于“安全是每個(gè)人的責(zé)任”的理念,并使安全與開發(fā)全流程無縫銜接,而不是發(fā)生在產(chǎn)品部署之后。

  DevSecOps在落地實(shí)踐需要注重哪些因素?

  ● 文化和心態(tài)比工具更重要。首先應(yīng)該承認(rèn)自動(dòng)化和工具很重要,但采用 DevSecOps 始于文化轉(zhuǎn)變。從將“安全是安全團(tuán)隊(duì)的事情”轉(zhuǎn)變?yōu)椤鞍踩谴蠹业墓餐?zé)任”,安全需要每一個(gè)人為之付出時(shí)間、努力和奉獻(xiàn)精神。

  ● 軟件成分分析(SCA) 必須成為優(yōu)先事項(xiàng)。供應(yīng)鏈攻擊、非授權(quán)軟件和像Log4Shell這樣的開源漏洞已經(jīng)清楚地表明了保護(hù)庫和依賴關(guān)系的重要性。今天的應(yīng)用程序依賴于來自第三方的大量軟件,一個(gè)軟件包中的安全漏洞可能會(huì)產(chǎn)生巨大的連鎖反應(yīng)。

  ●  DevSecOps工具需要消除安全方面的摩擦。為了使 DevSecOps 更有效,安全需要直接集成到軟件交付管道中。如果安全集成造成瓶頸并阻礙生產(chǎn)力,開發(fā)團(tuán)隊(duì)就會(huì)嘗試?yán)@過它們。安全性必須成為開發(fā)人員編寫、構(gòu)建和部署方式的一部分,而不是一個(gè)單獨(dú)的過程。這就是為什么 DevSecOps 工具必須與 DevOps 工作流緊密集成的原因。

  ● DevSecOps 工具需要處理合規(guī)性挑戰(zhàn)。許多企業(yè)必須遵守 HIPAA、PCI-DSS 和 SOX 等標(biāo)準(zhǔn),但跟上所有的審計(jì)、掃描和要求通常需要大量的手動(dòng)工作。一些簡(jiǎn)化合規(guī)流程的代碼合規(guī)工具將會(huì)幫助企業(yè)解決這一問題,通過使用 DevSecOps 工具和實(shí)踐簡(jiǎn)化合規(guī)流程,團(tuán)隊(duì)可以展示業(yè)務(wù)價(jià)值并幫助創(chuàng)建積極的反饋循環(huán),以更廣泛地采用 DevSecOps。

  總而言之,大多數(shù)組織都希望采用 DevSecOps 實(shí)踐,但他們當(dāng)前的實(shí)踐更接近于傳統(tǒng)的瀑布方法,而不是 DevSecOps 宣言中描述的敏捷實(shí)踐。因此,大多數(shù)企業(yè)面臨的直接障礙是克服與人員和流程相關(guān)的挑戰(zhàn)。對(duì)于 DevSecOps 服務(wù)和解決方案的提供商,重點(diǎn)應(yīng)該是消除集成安全性的摩擦,并幫助團(tuán)隊(duì)團(tuán)結(jié)起來,讓安全成為每個(gè)人的責(zé)任。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。