DevSecOps可能是一個(gè)相對(duì)較新的組合學(xué)科，指的是在軟件開(kāi)發(fā)生命周期的早期包含安全規(guī)劃，以加強(qiáng)網(wǎng)絡(luò)防御，但它將成為企業(yè)的一個(gè)至關(guān)重要的領(lǐng)域。
　　2023年的主要趨勢(shì)

　　以下是我們預(yù)計(jì)2023年DevSecOps領(lǐng)域?qū)⒊霈F(xiàn)的主要行業(yè)趨勢(shì)。

　　自動(dòng)化支撐創(chuàng)新

　　自動(dòng)化是提高運(yùn)營(yíng)效率的關(guān)鍵機(jī)制，今年將在安全領(lǐng)域得到進(jìn)一步發(fā)展。人工智能（AI）正在與自動(dòng)化相結(jié)合，使公司能夠在整個(gè)組織中簡(jiǎn)化和擴(kuò)大決策，以抵消目前用于完成日常流程的大部分手動(dòng)工作。這將使安全團(tuán)隊(duì)能夠以更高的精度和靈活性將精力集中在更多的戰(zhàn)略計(jì)劃上，并將更多的操作功能留給自動(dòng)化。

　　將DevSecOps構(gòu)建到公司實(shí)踐背后的戰(zhàn)略也將成熟，允許創(chuàng)新在沒(méi)有不可預(yù)見(jiàn)的障礙的情況下發(fā)展。“設(shè)計(jì)即安全（secure-by-design）”的概念可能是陳腐的，但其所遵循的原則卻并不陳腐——創(chuàng)建網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，檢測(cè)漏洞，并在一開(kāi)始就糾正問(wèn)題以防止風(fēng)險(xiǎn)。這將是2023年的變革性方法。

　　工具整合

　　在將安全性納入流程之前，組織需要確定哪些工具最適合解決最緊迫的挑戰(zhàn)。工具蔓延（Toolsprawl）——即組織建立他們的工具堆棧，直到成本超過(guò)回報(bào)——是組織必須抑制和避免的一種低效率方法。

　　相反地，我們可能會(huì)看到更普遍的安全工具整合。根據(jù)Gartner的數(shù)據(jù)顯示，75%的組織已經(jīng)開(kāi)啟了這一過(guò)程。將工具鏈的可觀察性和監(jiān)控納入一個(gè)平臺(tái)，使公司能夠全面了解哪些工具導(dǎo)致了阻塞。從碎片化工具架構(gòu)到流線型工具架構(gòu)將為構(gòu)建和加強(qiáng)其他流程提供更有利的環(huán)境。

　　基礎(chǔ)設(shè)施即代碼（IaC）

　　傳統(tǒng)的IT基礎(chǔ)設(shè)施管理流程是手動(dòng)的，這必然會(huì)影響成本和資源——需要熟練的勞動(dòng)力來(lái)執(zhí)行相關(guān)任務(wù)。有了云計(jì)算，IT領(lǐng)域的組件數(shù)量一直在增長(zhǎng)，每天都有更多的應(yīng)用程序發(fā)布。IaC在這里是一個(gè)非常寶貴的工具——使用配置文件，IaC可以管理和監(jiān)督當(dāng)今不斷發(fā)展的基礎(chǔ)設(shè)施的規(guī)模。

　　軟件的歷史就是在抽象之上再逐層抽象，所以，從開(kāi)發(fā)角度，他們需要一個(gè)抽象層來(lái)屏蔽復(fù)雜的基礎(chǔ)設(shè)施特性，控制下層的基礎(chǔ)設(shè)施，提供自身API或者是可編程的方式供開(kāi)發(fā)者使用。隨著服務(wù)和配置選項(xiàng)的數(shù)量呈指數(shù)級(jí)增長(zhǎng)，IaC允許一定程度的抽象，使工程師不必跟上這些變化。IaC最大限度地發(fā)揮了云計(jì)算的潛力，為開(kāi)發(fā)人員節(jié)省了時(shí)間。

　　自動(dòng)化補(bǔ)救

　　不斷上升的網(wǎng)絡(luò)犯罪已經(jīng)將數(shù)字安全推到了企業(yè)總體戰(zhàn)略的最前沿。企業(yè)越來(lái)越注重補(bǔ)救，而不僅僅是檢測(cè)，以避免承擔(dān)越來(lái)越多的風(fēng)險(xiǎn)。例如，它的工作原理是持續(xù)監(jiān)控網(wǎng)絡(luò)中的任何不規(guī)則活動(dòng)，然后通過(guò)在固件上安裝安全補(bǔ)丁來(lái)消除威脅載體。

　　根據(jù)Gartner的說(shuō)法，組織應(yīng)該準(zhǔn)備在補(bǔ)丁發(fā)布后立即對(duì)關(guān)鍵系統(tǒng)進(jìn)行緊急修復(fù)，以解決漏洞威脅。為了執(zhí)行緊急響應(yīng)，組織必須部署一種智能、自動(dòng)化的補(bǔ)救方法，該方法完全集成到其流程中，足夠獨(dú)立，可以立即解決日常問(wèn)題，并適合其體系結(jié)構(gòu)。規(guī)范性的“最佳實(shí)踐”在2023年不會(huì)奏效——補(bǔ)救措施必須自動(dòng)化才能有效。

　　超越SBOMs

　　在白宮加強(qiáng)軟件供應(yīng)鏈安全備忘錄的推動(dòng)下，軟件材料清單（SBOM），即代碼庫(kù)的清單，已被尊為“軟件透明度的游戲規(guī)則改變者”。得益于安全和軟件專業(yè)人員間的一些改進(jìn)和凝聚力，SBOM有潛力成為一個(gè)值得尊敬的行業(yè)基準(zhǔn)，今年，SBOM可能會(huì)達(dá)到一個(gè)成熟階段，以確保其交付能夠與宣傳相匹配。

　　SBOM旨在揭開(kāi)應(yīng)用程序所使用的軟件組件的面紗，從而實(shí)現(xiàn)更明智的風(fēng)險(xiǎn)管理決策。當(dāng)軟件生產(chǎn)商能夠向客戶交付SBOM時(shí)，就表明他們采用了先進(jìn)的軟件實(shí)踐。盡管SBOM的目標(biāo)令人欽佩，但在實(shí)際應(yīng)用上仍然存在諸多障礙。例如，有許多設(shè)計(jì)用于自動(dòng)生成SBOM的工具，但它們?cè)谔峁?shù)據(jù)的方式上并不一致。

　　此外，SBOM在采購(gòu)決策方面的價(jià)值也有限。供應(yīng)商將不得不經(jīng)常更新SBOM；這意味著在做出采購(gòu)決定時(shí)，用戶的SBOM可能已經(jīng)過(guò)時(shí)了。附加的工具，如軟件組合分析和代碼簽名，將成為完整的、管理良好的和安全的軟件供應(yīng)鏈的必要元素。最終，這將需要行業(yè)的共同努力，包括定義最佳實(shí)踐和標(biāo)準(zhǔn)，以及激勵(lì)供應(yīng)商更加透明化。

　　網(wǎng)絡(luò)安全仍是組織優(yōu)先級(jí)

　　今年，在國(guó)際經(jīng)濟(jì)形勢(shì)和諸多因素的共同作用下，我們將不可避免地看到組織收緊預(yù)算和重組以維持運(yùn)營(yíng)。與此同時(shí)，DevSecOps的定位是向上增長(zhǎng)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)仍然是人們最關(guān)心的問(wèn)題，開(kāi)發(fā)SecOps策略能夠通過(guò)預(yù)防網(wǎng)絡(luò)安全風(fēng)險(xiǎn)來(lái)節(jié)省時(shí)間和金錢(qián)。

　　盡管如此，我們將看到這些預(yù)算優(yōu)化轉(zhuǎn)向提供更多可操作結(jié)果的解決方案，這些解決方案擁有更多的補(bǔ)救措施，能夠釋放緊缺且昂貴的工程師資源，從設(shè)計(jì)階段就將安全性集成到軟件開(kāi)發(fā)周期的流程，以及有助于簡(jiǎn)化而不是拓展組織工具包的自動(dòng)化。

　　原文鏈接：

　　https://www.darkreading.com/application-security/spotlight-on-2023-devsecops-trends?

　　本文作者：晶顏123，轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf.COM