尽管 DevOps 和云计算等技术的出现简化了典型的 IT 流程,但许多公司仍然认为缺乏安全性是一个重大挑战。
DevOps 是最热门的技术趋势之一 。它通过“ DevSecOps ”解决组织的安全问题,同时提高其生产力。
尽管“DevSecOps” 、“安全 DevOps”或“SecDevOps”在整个流程链的安全集成方面被证明是成功的,但公司报告称,在全面实施 DevSecOps 实践方面存在一些瓶颈。
SecDevOps 或安全 DevOps
当许多公司对DevOps 实施中的安全性提出 比利时企业电子邮件列表 担忧时,SecDevOps 对其中许多公司来说似乎是一个福音,他们认为 SecDevOps 在促进更快的开发周期安全保障方面非常有效。
最终,通过 SecDevOps 集成,大多数人可以看到其代码漏洞率下降了 40% 以上。
然而,情况并非一成不变!一些公司还报告了实施安全 DevOps 的困难。
调查显示,安全 DevOps 实施过程中存在的主要差距包括:
安全 DevOps 的关键差距
一致性:SecDevOps文化的一致实践仍然是一个挑战
应用程序安全测试:只有 50% 的公司报告在其持续集成和持续交付 (CI/CD) 工作流程中集成了应用程序安全测试元素
缺乏安全测试:缺乏确保 CI/CD 流程顺畅的安全测试机制和自动化安全测试工具
检测方法薄弱:受访者报告的检测结果呈假阳性
技术:许多公司都缺乏适合现有 CI/CD 工作流程的智能技术
实施速度:专注于快速交付,并在后期进行安全性和测试,在某些情况下可能会损害安全性。这并不意味着放慢速度!专家建议,精心设计的 CI/CD 管道可以同时管理两者。
据报道,缺乏这些方面对企业实施“安全 DevOps”带来了挑战。
那么,什么是正确的“安全 DevOps”方法?
报告称,未能实施“安全 DevOps”方法的最常见挑战是“事后才考虑安全性和测试,只关注交付速度。”
大多数传统的 CI/CD 管道都将安全操作与软件交付链分开。
缺乏对整个流程链中安全集成的应有关注可能会导致 在开发和测试阶段错过关键漏洞 ,这可能会反映在最终的生产阶段。
因此,快速的软件交付和整个过程的安全性使得 DevOps 取得成功。
可以通过以下方式实现:
自动化安全:将手动安全工具集成到 CI/CD 管道中可能会减慢流程。解决方案是使用相关工具通过自动化来自动化安全流程。
集成:在整个管道中集成安全性意味着在所有阶段而不是在几个点的末端实施安全性。
持续反馈:为单个流程实施安全措施并非解决安全问题的完整方案。持续反馈已实施的安全功能及其兼容性或未来应用程序的更新才是正确的方法。
多重安全流程:单一的安全解决方案可能不足以应对不断变化的安全威胁,需要所有可能的安全解决方案来应对任何可能的风险
总体而言,正确的“安全 DevOps”方法通过在安全工作流程中应用DevOps 服务和实践来提高安全性。
