DevSecOps可能是一个相对较新的组合学科,指的是在软件开发生命周期的早期包含安全规划,以加强网络防御,但它将成为企业的一个至关重要的领域。
2023年的主要趋势
以下是我们预计2023年DevSecOps领域将出现的主要行业趋势。
自动化支撑创新
自动化是提高运营效率的关键机制,今年将在安全领域得到进一步发展。人工智能(AI)正在与自动化相结合,使公司能够在整个组织中简化和扩大决策,以抵消目前用于完成日常流程的大部分手动工作。这将使安全团队能够以更高的精度和灵活性将精力集中在更多的战略计划上,并将更多的操作功能留给自动化。
将DevSecOps构建到公司实践背后的战略也将成熟,允许创新在没有不可预见的障碍的情况下发展。“设计即安全(secure-by-design)”的概念可能是陈腐的,但其所遵循的原则却并不陈腐——创建网络安全标准,检测漏洞,并在一开始就纠正问题以防止风险。这将是2023年的变革性方法。
工具整合
在将安全性纳入流程之前,组织需要确定哪些工具最适合解决最紧迫的挑战。工具蔓延(Tool sprawl)——即组织建立他们的工具堆栈,直到成本超过回报——是组织必须抑制和避免的一种低效率方法。
相反地,我们可能会看到更普遍的安全工具整合。根据Gartner的数据显示,75%的组织已经开启了这一过程。将工具链的可观察性和监控纳入一个平台,使公司能够全面了解哪些工具导致了阻塞。从碎片化工具架构到流线型工具架构将为构建和加强其他流程提供更有利的环境。
基础设施即代码(IaC)
传统的IT基础设施管理流程是手动的,这必然会影响成本和资源——需要熟练的劳动力来执行相关任务。有了云计算,IT领域的组件数量一直在增长,每天都有更多的应用程序发布。IaC在这里是一个非常宝贵的工具——使用配置文件,IaC可以管理和监督当今不断发展的基础设施的规模。
软件的历史就是在抽象之上再逐层抽象,所以,从开发角度,他们需要一个抽象层来屏蔽复杂的基础设施特性,控制下层的基础设施,提供自身API或者是可编程的方式供开发者使用。随着服务和配置选项的数量呈指数级增长,IaC允许一定程度的抽象,使工程师不必跟上这些变化。IaC最大限度地发挥了云计算的潜力,为开发人员节省了时间。
自动化补救
不断上升的网络犯罪已经将数字安全推到了企业总体战略的最前沿。企业越来越注重补救,而不仅仅是检测,以避免承担越来越多的风险。例如,它的工作原理是持续监控网络中的任何不规则活动,然后通过在固件上安装安全补丁来消除威胁载体。
根据Gartner的说法,组织应该准备在补丁发布后立即对关键系统进行紧急修复,以解决漏洞威胁。为了执行紧急响应,组织必须部署一种智能、自动化的补救方法,该方法完全集成到其流程中,足够独立,可以立即解决日常问题,并适合其体系结构。规范性的“最佳实践”在2023年不会奏效——补救措施必须自动化才能有效。
超越SBOMs
在白宫加强软件供应链安全备忘录的推动下,软件材料清单(SBOM),即代码库的清单,已被尊为“软件透明度的游戏规则改变者”。得益于安全和软件专业人员间的一些改进和凝聚力,SBOM有潜力成为一个值得尊敬的行业基准,今年,SBOM可能会达到一个成熟阶段,以确保其交付能够与宣传相匹配。
SBOM旨在揭开应用程序所使用的软件组件的面纱,从而实现更明智的风险管理决策。当软件生产商能够向客户交付SBOM时,就表明他们采用了先进的软件实践。尽管SBOM的目标令人钦佩,但在实际应用上仍然存在诸多障碍。例如,有许多设计用于自动生成SBOM的工具,但它们在提供数据的方式上并不一致。
此外,SBOM在采购决策方面的价值也有限。供应商将不得不经常更新SBOM;这意味着在做出采购决定时,用户的SBOM可能已经过时了。附加的工具,如软件组合分析和代码签名,将成为完整的、管理良好的和安全的软件供应链的必要元素。最终,这将需要行业的共同努力,包括定义最佳实践和标准,以及激励供应商更加透明化。
网络安全仍是组织优先级
今年,在国际经济形势和诸多因素的共同作用下,我们将不可避免地看到组织收紧预算和重组以维持运营。与此同时,DevSecOps的定位是向上增长。网络安全风险仍然是人们最关心的问题,开发SecOps策略能够通过预防网络安全风险来节省时间和金钱。
尽管如此,我们将看到这些预算优化转向提供更多可操作结果的解决方案,这些解决方案拥有更多的补救措施,能够释放紧缺且昂贵的工程师资源,从设计阶段就将安全性集成到软件开发周期的流程,以及有助于简化而不是拓展组织工具包的自动化。
原文链接:
https://www.darkreading.com/application-security/spotlight-on-2023-devsecops-trends
本文作者:晶颜123, 转载请注明来自FreeBuf.COM