DevSecOps正确左移的宣言

随着世界越来越多地转向云和一切的数字化,组织的风险态势也发生了变化。将安全嵌入业务是新的、必须实现的方法,而产品安全是实现这一目标的平滑实现的途径。另外,由以工程为中心的 CISO 的出现引领了Netflix、Github、Square 等许多表现出色的公司,将安全性集成到编码、构建和交付中,这是改善整体安全状况的最有效的方法之一。
这就是为什么 DevSecOps 的大规模采用是最大的安全趋势之一。 随着 DevOps 的质量和效率的优势的确立,安全分层和DevSecOps 的“左移”是作为下一个合乎逻辑的步骤。

然而,即使在 2022 年,许多组织仍处于 DevSecOps 之旅的早期阶段。安全性不是从一开始就集成到 SDLC 中,而是在部署后通过漏洞扫描程序和渗透测试来增加安全性。 好消息企业认识到了差距并正在尝试实施 DevSecOps 实践。云安全联盟 (CSA) 报告发现 89% 的组织正在积极采用 DevSecOps。这些组织中的大多数仍处于 DevSecOps 的规划、设计或实施阶段,这表明了市场的发展方向。 在这些早期阶段,组织需要驾驭 DevSecOps 采用的文化和人文方面。安全必须停止成为“拒绝团队”,并在开发生命周期中形成根深蒂固的观念。正确地“左移”意味着倾向于“安全是每个人的责任”的理念,并使安全成为流水线不可分割的一部分,而不是部署后发生的事情。

正确“左移”:DevSecOps 宣言

DevSecOps 的未来意味着什么?这是一个对市场有影响的简短宣言:

  • 文化和心态比工具更重要。自动化和工具很重要,但采用 DevSecOps 始于文化转变。因为通常在安全和开发之间会形成一种近乎牵扯的关系,需要转变为作为共同责任的安全,变成将安全作为一个团队的工作,不过,这需要时间、努力和奉献精神。不过这对可以帮助企业实现成功平稳过渡的第三方咨询公司产生了巨大的需求。
  • 软件成分分析(SCA) 必须成为优先事项。供应链攻击、抗议软件和像Log4Shell这样的开源漏洞已经清楚地表明了安全库和依赖关系的重要性。今天的应用程序依赖于来自第三方的大量软件,一个软件包中的安全漏洞可能会产生巨大的连锁反应。像 JFrog 和 GitLab 这样的 DevSecOps 平台使团队可以轻松地保护他们的依赖关系并跟踪软件出处可以解决这个问题,同时简化 DevSecOps 的采用。
  • 工具需要消除安全方面的摩擦。为了使 DevSecOps 有效,安全需要直接集成到软件交付流水线中。如果安全集成造成瓶颈并阻碍生产力,业务团队将开始寻求绕过。安全性必须成为开发人员编骂、构建和部署方式的一部分,而不是一个单独的过程。这就是为什么 DevSecOps 工具必须与 DevOps 工作流紧密集成的原因。
  • DevSecOps 工具需要处理合规性挑战。许多企业必须遵守 HIPAA、PCI-DSS 和 SOX 等标准。要跟上所有的审计、扫描和要求通常需要大量的人工工作。“合规即代码”解决方案,如 Concourse Labs 和 IBM 的开源 Trestle(基于 NIST 的 OSCAL 模型)可以在这里增加很多价值。通过使用 DevSecOps 工具和实践简化合规流程,团队可以展示业务价值并帮助创建积极的反馈循环,以更广泛地采用DevSecOps。 (注意这里将 AppSec 工具排除在外。虽然重要,但 AppSec 是一个独特的类别,我们应该将其视为对 DevSecOps 的补充。DevSecOps 是从代码到部署的任何事情,AppSec 是部署后的。)

总而言之,大多数组织都希望采用 DevSecOps 实践,但他们当前的实践更接近于传统的瀑布方法,而不是上面 DevSecOps 宣言中描述的敏捷实践。 因此,大多数企业面临的直接障碍是克服与人员和流程相关的挑战。对于 DevSecOps 服务和解决方案的提供商,重点应该是消除集成安全性的摩擦,并帮助团队团结起来,让安全成为每个人的责任。

原文可参考:https://www.securityweek.com/vc-view-devsecops-evolution-and-getting-shift-left-right

实现DevSecOps正确左移的宣言相关推荐

  1. 赛博朋克宣言1993_赛博朋克2077和未来武器

    赛博朋克宣言1993 Night City is the vast metropolis featured in Cyberpunk 2077, the highly-anticipated open ...

  2. 行业认可 | 悬镜安全荣膺DevSecOps创新赛道领航者,获选年度创新力十强

    近日,由国内数字化产业第三方调研与咨询机构数世咨询.CIO时代联合举办的"第二届数字安全大会线上启动会"成功举行.大会重磅推出数字安全十三大创新赛道及其领航者. 悬镜安全作为Dev ...

  3. 腾讯代码安全指南开源,涉及 C/C++、Go 等六门编程语言

    腾讯代码安全指南旨在梳理 API 层面的风险点并提供详实可操作的编码指引,是我们开展 DevSecOps 安全左移实践探索过程中,梳理沉淀面向开发人员的代码安全参考材料. 本次开源涉及 C/C++.J ...

  4. 牛逼大了!腾讯官方的代码安全指南免费公开

    ????????关注后回复 "进群" ,拉你进程序员交流群???????? 程序员书库(ID:CodingBook) 猿妹整编 综合自:https://github.com/Ten ...

  5. 怎样建立产品体系?(二)- 战略

    为什么要有战略? 战略为产品开发和进行中的产品管理提供环境.目标和指导方向,所以战略是一个企业生存和成长的核心所在,为企业的所有职能和活动奠定了基础.提供了框架与指导方向.而新产品战略指导公司内全部的 ...

  6. 开源是容器安全面临的最大挑战?|Anchore 软件供应链安全报告解读

    PART ONE Anchore 软件供应链安全报告解读 Anchore[1]是一家关注软件供应链安全的安全厂商,其旗下有好几款关于安全的开源项目,比如 Syft[2].Grype[3].其在六月份发 ...

  7. LeetCode每日一题:927. 三等分 (困难) 数组 数学

    题目:力扣 给定一个由 0 和 1 组成的数组 arr ,将数组分成  3 个非空的部分 ,使得所有这些部分表示相同的二进制值. 如果可以做到,请返回任何 [i, j],其中 i+1 < j,这 ...

  8. 12月书讯(下) | 冬夜寒冷,读书暖心,华章科技上新啦!

    11月很多地方都下了初雪,今年的"初雪"比以往时候都来得更早一些.气温骤降让不少小伙伴取消了外出游玩的计划. 在温暖的室内喝一杯咖啡,打开一本喜欢的书,也是一个不错的选择~ 12月 ...

  9. 不考虑安全的数字化转型都是伪命题

    目录 软件:数字化与数字经济发展重要推动力 安全:软件的生命线 软件安全之怪现状 愈加频发的安全问题 日益严峻的安全形势 更加严格的安全监管 仍旧存在诸多误区的安全意识 软件安全的破局之道:DevSe ...

最新文章

  1. 如何在基于Bytom开发过程中集成IPFS
  2. hdu 2188悼念512汶川大地震遇难同胞——选拔志愿者(博弈)
  3. JAVA与SAP数据交互的方式总结
  4. 2018-11-08
  5. 融云android系统消息,如何解决 嵌入融云SDK后, Android 手机收不到消息推送?
  6. MASM5及LINK命令行
  7. 转专业2017武汉大学计算机学,武大,10届考生谈谈转专业~`~
  8. Hbuilder封装APP教程
  9. 信息安全管理——数据编码与密码基础
  10. 【苦练基本功】代码整洁之道 pt1(第1章-第3章)
  11. 【存储】文件存储、块存储、对象存储的区别
  12. QuantLib 金融计算——收益率曲线之构建曲线(1)
  13. 安装驱动显卡重启计算机,Win7系统安装显卡驱动后电脑一直重启怎么办
  14. 机器学习稀疏之L0正则化
  15. 马斯克中止推特收购,分手费10亿美元
  16. 关于百度地图显示蓝底或者只显示格子的问题
  17. 【转载】网页尺寸规范
  18. Python黑客攻防入门
  19. 从Excel中解救你!如何用Python实现报表自动化
  20. right 微信小程序_微信小程序双向slider

热门文章

  1. 输入电阻、输出电阻、特性阻抗、阻抗匹配
  2. JS 正则表达式获取匹配内容
  3. C# 使用反射获取私有属性的方法
  4. c语言求不定式的最大值,C语言之四则运算表达式求值(链栈)—支持浮点型数据,负数, 整型数据运算...
  5. Mysql(Centos7.9)2022最新学习(二):DDL语句
  6. Git快速提交Github步骤
  7. 运行项目报错 proxy error: could not proxy request...
  8. 外贸订单支付失败有哪些原因导致?有哪些解决方案?
  9. 高级linux内核软件工程师
  10. Matlab2020a安装