不仅仅是安全左移,DevSecOps发展历程背后的安全指引 | FreeBuf咨询洞察
2023-1-16 18:59:46
Author: FreeBuf(查看原文)
阅读量:13
收藏
DevSecOps 强调将安全融入 IT 生命周期的每个阶段,要求把安全责任从安全团队迁移至整个企业。
1. 从瀑布模型到敏捷模型,持续交付、持续部署CI/CD成DevSecOps核心理念。2. 在DevSecOps主流工具链中,AST类测试工具是验证应用开发、编码阶段安全性的关键。其中,IAST尚处于探索阶段,其交互式测试模式使之具备高增长潜力。3. 从微服务走向无服务将会成为未来DevSecOps的主流发展趋势,以进一步降低计算资源成本并实现按需扩展、按需付费。4. DevSecOps实践形态将不再局限于将安全工具嵌入DevOps平台,而是直接成为独立的一体化平台。5. DevSecOps未来将以无感知安全为核心目标,尽可能降低安全工具对于企业业务生产及运作的干扰。DevSecOps 不是一项单一的技术能力,而是一套流程化的企业安全建设体系。随着DevSecOps逐渐成为安全行业备受关注的新热点,“安全左移“、安全责任归属、敏捷开发、敏捷交付等相关话题也得到了业界的广泛讨论。在此背景下,FreeBuf咨询特别发布《洞察DevSecOps发展历程背后的安全指引》报告,在剖析DevSecOps实践路径、应用工具使用现状的同时,也从DevSecOps的发展历程入手,洞察企业安全建设中的策略调整与未来规划趋势。DevSecOps的概念最早于2012年被Gartner分析师首次提出。2016年,Gartner发布业内首份DevSecOps报告,对DevSecOps及配套解决方案进行详细分析。2017年RSAC会议引入DevSecOps概念,提出“安全左移“的概念。随后DevSecOps的理念受到RSAC的持续关注,在之后几年的会议中相继提出CI/CD黄金管道、设立“DevOps Connet“子主题,组织内部DevSecOps转型方法等内容,分别强调自动化工具链的使用、DevSecOps落地实践中的文化融合意义以及人在DevSecOps中的重要性。当前,将风险管理、合规治理等多重因素融入DevSecOps框架成为业界主流趋势。
中国信通院数据显示。近年来,大型企业DevSecOps引入占比逐年递增,从2020年的不到5成(41.3%)增至2022年超6成的水平(63.5%), 其复合增长率超过20%。此外,从组织架构层面而言,安全责任逐渐从安全团队向整体企业迁移。根据GitLab 发布的2022年DevSecOps调查显示,超53%的受访企业认为安全属于企业中每个人的责任。
DevSecOps的核心在于将安全性融入软件开发生命周期的每个决策阶段,具体包括:规划、编码及开发、代码推送、软件测试、软件发布前、部署、运维阶段。与此同时,企业应对可能存在的违规行为进行持续监控,跟踪系统性能并在早期阶段识别任何漏洞,以适应不断变化的业务及外部环境。
中国信通院对DevSecOps技术工具实践现状按照阶段进行统计,具体包括需求与设计阶段、编码阶段、验证阶段、预发布阶段及运行阶段。根据FreeBuf咨询的梳理,编码阶段的安全性受到企业最高的关注程度。FreeBuf咨询集结安全行业经验丰富的安全专家和分析师,常年对网络安全技术、行业动态保持追踪,洞悉安全行业现状和趋势,呈现最专业的研究与咨询服务,主要输出四个种类的咨询报告:行业研究报告、能力评估报告、产品研究报告以及甲方定制化报告。FreeBuf咨询自成立以来, 已积累了500+ 甲方安全智库资源,为行业研究报告、企业咨询服务提供指导。访谈上百位行业大咖,为业界输出真实、丰富的安全管理价值与实践经验,具备超过80万+ 精准用户,直接触达CSO、企业安全专家、投资人等专业人群。如有疑问,请联系 FreeBuf 咨询 朱先生 :
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651213724&idx=2&sn=bfb3cdae5502dcc815436dea0294b1cc&chksm=bd1ddd178a6a5401cd39f6177aa08785e035081b8dda4c28ca9b7374fa6ad42fd37cfe925e2b#rd
如有侵权请联系:admin#unsafe.sh