2023年的主要趨勢
以下是我們預(yù)計2023年DevSecOps領(lǐng)域?qū)⒊霈F(xiàn)的主要行業(yè)趨勢。
自動化支撐創(chuàng)新
自動化是提高運營效率的關(guān)鍵機制,今年將在安全領(lǐng)域得到進(jìn)一步發(fā)展。人工智能(AI)正在與自動化相結(jié)合,使公司能夠在整個組織中簡化和擴大決策,以抵消目前用于完成日常流程的大部分手動工作。這將使安全團隊能夠以更高的精度和靈活性將精力集中在更多的戰(zhàn)略計劃上,并將更多的操作功能留給自動化。
將DevSecOps構(gòu)建到公司實踐背后的戰(zhàn)略也將成熟,允許創(chuàng)新在沒有不可預(yù)見的障礙的情況下發(fā)展。“設(shè)計即安全(secure-by-design)”的概念可能是陳腐的,但其所遵循的原則卻并不陳腐——創(chuàng)建網(wǎng)絡(luò)安全標(biāo)準(zhǔn),檢測漏洞,并在一開始就糾正問題以防止風(fēng)險。這將是2023年的變革性方法。
工具整合
在將安全性納入流程之前,組織需要確定哪些工具最適合解決最緊迫的挑戰(zhàn)。工具蔓延(Toolsprawl)——即組織建立他們的工具堆棧,直到成本超過回報——是組織必須抑制和避免的一種低效率方法。
相反地,我們可能會看到更普遍的安全工具整合。根據(jù)Gartner的數(shù)據(jù)顯示,75%的組織已經(jīng)開啟了這一過程。將工具鏈的可觀察性和監(jiān)控納入一個平臺,使公司能夠全面了解哪些工具導(dǎo)致了阻塞。從碎片化工具架構(gòu)到流線型工具架構(gòu)將為構(gòu)建和加強其他流程提供更有利的環(huán)境。
基礎(chǔ)設(shè)施即代碼(IaC)
傳統(tǒng)的IT基礎(chǔ)設(shè)施管理流程是手動的,這必然會影響成本和資源——需要熟練的勞動力來執(zhí)行相關(guān)任務(wù)。有了云計算,IT領(lǐng)域的組件數(shù)量一直在增長,每天都有更多的應(yīng)用程序發(fā)布。IaC在這里是一個非常寶貴的工具——使用配置文件,IaC可以管理和監(jiān)督當(dāng)今不斷發(fā)展的基礎(chǔ)設(shè)施的規(guī)模。
軟件的歷史就是在抽象之上再逐層抽象,所以,從開發(fā)角度,他們需要一個抽象層來屏蔽復(fù)雜的基礎(chǔ)設(shè)施特性,控制下層的基礎(chǔ)設(shè)施,提供自身API或者是可編程的方式供開發(fā)者使用。隨著服務(wù)和配置選項的數(shù)量呈指數(shù)級增長,IaC允許一定程度的抽象,使工程師不必跟上這些變化。IaC最大限度地發(fā)揮了云計算的潛力,為開發(fā)人員節(jié)省了時間。
自動化補救
不斷上升的網(wǎng)絡(luò)犯罪已經(jīng)將數(shù)字安全推到了企業(yè)總體戰(zhàn)略的最前沿。企業(yè)越來越注重補救,而不僅僅是檢測,以避免承擔(dān)越來越多的風(fēng)險。例如,它的工作原理是持續(xù)監(jiān)控網(wǎng)絡(luò)中的任何不規(guī)則活動,然后通過在固件上安裝安全補丁來消除威脅載體。
根據(jù)Gartner的說法,組織應(yīng)該準(zhǔn)備在補丁發(fā)布后立即對關(guān)鍵系統(tǒng)進(jìn)行緊急修復(fù),以解決漏洞威脅。為了執(zhí)行緊急響應(yīng),組織必須部署一種智能、自動化的補救方法,該方法完全集成到其流程中,足夠獨立,可以立即解決日常問題,并適合其體系結(jié)構(gòu)。規(guī)范性的“最佳實踐”在2023年不會奏效——補救措施必須自動化才能有效。
超越SBOMs
在白宮加強軟件供應(yīng)鏈安全備忘錄的推動下,軟件材料清單(SBOM),即代碼庫的清單,已被尊為“軟件透明度的游戲規(guī)則改變者”。得益于安全和軟件專業(yè)人員間的一些改進(jìn)和凝聚力,SBOM有潛力成為一個值得尊敬的行業(yè)基準(zhǔn),今年,SBOM可能會達(dá)到一個成熟階段,以確保其交付能夠與宣傳相匹配。
SBOM旨在揭開應(yīng)用程序所使用的軟件組件的面紗,從而實現(xiàn)更明智的風(fēng)險管理決策。當(dāng)軟件生產(chǎn)商能夠向客戶交付SBOM時,就表明他們采用了先進(jìn)的軟件實踐。盡管SBOM的目標(biāo)令人欽佩,但在實際應(yīng)用上仍然存在諸多障礙。例如,有許多設(shè)計用于自動生成SBOM的工具,但它們在提供數(shù)據(jù)的方式上并不一致。
此外,SBOM在采購決策方面的價值也有限。供應(yīng)商將不得不經(jīng)常更新SBOM;這意味著在做出采購決定時,用戶的SBOM可能已經(jīng)過時了。附加的工具,如軟件組合分析和代碼簽名,將成為完整的、管理良好的和安全的軟件供應(yīng)鏈的必要元素。最終,這將需要行業(yè)的共同努力,包括定義最佳實踐和標(biāo)準(zhǔn),以及激勵供應(yīng)商更加透明化。
網(wǎng)絡(luò)安全仍是組織優(yōu)先級
今年,在國際經(jīng)濟形勢和諸多因素的共同作用下,我們將不可避免地看到組織收緊預(yù)算和重組以維持運營。與此同時,DevSecOps的定位是向上增長。網(wǎng)絡(luò)安全風(fēng)險仍然是人們最關(guān)心的問題,開發(fā)SecOps策略能夠通過預(yù)防網(wǎng)絡(luò)安全風(fēng)險來節(jié)省時間和金錢。
盡管如此,我們將看到這些預(yù)算優(yōu)化轉(zhuǎn)向提供更多可操作結(jié)果的解決方案,這些解決方案擁有更多的補救措施,能夠釋放緊缺且昂貴的工程師資源,從設(shè)計階段就將安全性集成到軟件開發(fā)周期的流程,以及有助于簡化而不是拓展組織工具包的自動化。
原文鏈接:
https://www.darkreading.com/application-security/spotlight-on-2023-devsecops-trends?
本文作者:晶顏123,轉(zhuǎn)載請注明來自FreeBuf.COM
