广东十一选五开奖 > 计算机网络 > 4大维度3大预测,基于容器生态扩张的DevSecOps为啥

原标题:4大维度3大预测,基于容器生态扩张的DevSecOps为啥

浏览次数:155 时间:2020-03-21

随着云计算和企业数字化转型的加速发展,应用安全领域的性质发生了很大的变化。比如目前,安全界存在着这样一种声音:即便应用安全还没死,它的日子也是屈指可数了!必须承认这种说

DevSecOps可能不是一个优雅的术语,但其结果是有吸引力的: 在开发的早期带来更强大的安全性。DevOps最终是要建立更好的软件,也意味着更安全的软件。

随着云计算和企业数字化转型的加速发展,应用安全领域的性质发生了很大的变化。比如目前,安全界存在着这样一种声音:即便应用安全还没死,它的日子也是屈指可数了!

像任何IT术语一样,DevSecOps--由DevOps衍生而来,很容易被炒作和盗用。但是这个术语对拥抱DevOps文化的IT领导者以及实现其承诺的实践和工具而言,具有真正的意义。

必须承认这种说法过于夸张,不要担心,作为一名应用程序安全工程师,您所做的工作实际上将变得比以往任何时候都更重要,这一点将很快反映在您的预算上。应用安全永远不会消失,但它将不得不进行成功转型。

DevSecOps什么意思?

作为企业安全的一个子集,应用安全已经存在了超过15年的时间。自21世纪初以来,应用安全专家已经为评估网站和销售应用程序渗透测试做出了突出成绩。但是如今,越来越多的此类专家正在将其头衔从应用安全工程师改为产品安全工程师。这一变化不仅仅是一种语义的转变,它还反映了企业安全性质的真正变化。为了进一步了解其重要性,接下来将为大家分析两大行业趋势向云迁移以及企业数字化转型为其带来的影响。

Datic公司首席技术官兼共同创始人RobertReeves说:“DevSecOps是开发,安全和运维的组合。它提醒我们,对于应用程序来说,安全和创建、部署到生产上同样重要。”

移至云端

向非技术人员解释DevSecOps的一个简单方法:它有意识地更早地将安全性融入到开发过程中。

云,DevOps(开发运维)和敏捷开发的迅速崛起,使得安全团队越来越难以跟上技术发展的步伐。由于应用程序是使用as-a-service(即服务)平台,基础架构和功能产品(如亚马逊网络服务AWS、Pivotal和Lambda)构建的,传统的基于网络和主机的安全模型现在由第三方提供商掌握。这种抽象缩小了安全边界,并迫使传统的企业安全专家更新其技能。

红帽安全战略家Kirsten Newcomer 最近告诉我们: “历史上,安全团队从开发团队中分离出来,每个团队都在不同的IT领域拥有深厚的专业知识 。“其实不需要这样。关心安全的企业也非常关心通过软件快速交付业务价值的能力,这些企业正在寻找方法,将安全性留在应用开发生命周期内。通过在整个CI / CD中集成安全实践,工具和自动化来采用DevSecOps。”

与此同时,我们也看到了DevOps安全专家的兴起。过去,应用程序安全团队主要负责代码的安全性,并运行静态和动态分析工具来帮助开发团队审核其输出。现在,这些技术正在重塑为更加以开发者为中心的模型,主要由开发人员和运营团队负责分析、保护和修复自己的代码和部署。如此一来,可谓是减轻了已经负载过重的应用安全团队的工作量,并将安全所有权置于其所属的位置即一开始构建应用程序的团队手中。此外,将应用程序安全性集成到持续集成/交付管道中,还可以实时地进行安全验证,这一直是应用程序安全专家的梦想。

她说:“为了做到这一点,他们正在整合团队。安全专业人员将从应用开发团队一直嵌入到生产部署中。” “双方都看到了价值,每个团队都拓展了他们的技能和知识基础,成为更有价值的技术专家。正确的DevOps或DevSecOps ,提高IT安全性。”

数字化转型

IT团队的任务是更快,更频繁地交付服务。DevOps成为一个很好的推动因素,部分原因是它可以消除开发和运营团队之间的一些传统冲突,Ops通常在部署之前被排除在外,而Dev将其代码丢在无形的墙上,从来不进行二次管理,更没有任何的基础设施维护责任。说得委婉一些,在数字化时代,这种孤立的做法会产生问题。按照Reeves的说法,如果安全是孤立的,也会存在类似的问题。

另一个起到重要影响作用的行业趋势是,企业业务开始从传统模式向数字化方向转型。各类企业正在将数字技术整合到其产品、服务以及运营等所有领域之中,以支持实现价值的新方式。

Reeves说:“我们采用DevOps,它被证明可以通过扫除开发与运维之间的障碍来提高IT的性能。“就像不应该等到部署周期结束才开始运维一样,也不应该等到最后才考虑安全问题。”
DevSecOps为什么会出现?

随着产品开始大规模的在线移动,安全专家的领域也随之迅速扩大。应用程序不再仅限于内部重点支持系统它们现在已经成为企业组织的命脉,也是其最重要的收入来源。专注于保护少数Web应用程序已经远远不够了;应用安全工程师现在不仅必须保障整个产品线的安全性,还需要保护业务本身。

将DevSecOps看作是另一个流行语是一种诱惑,但对于安全意识强的IT领导者来说,这是一个实质性的概念。安全必须是软件开发流程中的“一等公民”,而并非最终步骤部署,或者更糟糕,只有在发生实际的安全事件后才受到重视。

产品安全重要性日显

SumoLogic公司安全与合规副总裁George Gerchow表示:“DevSecOps不仅仅是一个流行词,由于诸多原因它是IT的当前和未来状态。“最重要的好处是能够将安全性融入到开发和运营流程中,为实现敏捷性和创新提供保障。”

由此看来,从应用程序安全工程师变成产品安全工程师不仅仅是职位头衔的转变,同时也意味着安全思考方式发生了转变。云、DevOps、敏捷开发以及它们所实现的数字化转型已经使传统的以应用程序为中心的安全性视角变得过时。应用安全已经不再只是关于保护少数业务线应用程序的问题。

此外,在场景中出现的DevSecOps可能是DevOps自身正在成熟并深入挖掘IT内部的另一个标志。

应用安全工程师现在需要负责为客户创造价值的产品的安全性,并推动竞争差异化和推进企业战略。

“企业DevOps文化意味着开发人员能够以更快的速度向生产环境提供功能和更新,特别是当自组织团队更加乐于协作和衡量结果。”CYBRIC首席技术官兼联合创始人Mike Kail说。

如今的风险成本已经达到了前所未有的高度。受损的内部生产力应用程序可能会造成暂时服务中断或延迟操作,但是客户手中受损的核心产品或服务则可能会对业务本身造成毁灭性的打击。

在采用DevOps的同时,保持原有的安全实践的团队和公司会遇到更多的管理安全风险的痛苦,因为DevOps团队会部署地更快、更频繁。
手动测试安全方法逐渐落后
“目前,手动测试安全方法逐渐落后,利用自动化和协作将安全测试转移到软件开发生命周期,从而推动DevSecOps文化,这是IT领导者提高整体弹性和交付安全保证的唯一路径。”凯尔说。

这种区别可能看起来很微妙,但您可以通过下述问题得到验证:询问一下您的企业主管,他曾有多少个夜晚因担心公司应用程序的完整性而失眠,对此,他们可能会回应你一个茫然的眼神。那么现在,问一个同样的有关公司产品完整性的问题,再看看他们的反应。

(早期)对安全性测试的改变也让开发人员受益:在开发新服务或部署更新服务之前,他们并没有发现代码中的明显漏洞,而是经常在开发的早期阶段发现并解决潜在的问题,几乎没有安全人员的介入。

安全工程师正在逐渐接受这种以产品为中心的新的角色概念。希望这种转变能够帮助应用安全专家意识到他们工作日益增长的重要性,并帮助他们获取更多的预算、资源和工具,以确保为其业务提供支持的产品的安全性,以及推动新型数字经济业务发展。

SAS首席信息安全官Brian Wilson表示:“正确的做法是,DevSecOps可以将安全性纳入开发生命周期,使开发人员能够更快,更方便地保护应用程序,不会造成安全干扰。

责任编辑:金小雪

Wilson将静态(SAST)和源代码分析(SCA)工具集成到团队的持续交付中,帮助开发人员在代码中对潜在问题,以及第三方依赖的漏洞进行反馈。

Wilson说:“开发人员可以主动、反复地缓解app的安全问题,并重新进行安全扫描,无需安全人员参与。DevSecOps还可以帮助开发团队简化更新和修补程序。

DevSecOps并不意味着企业不再需要安全专家,就像DevOps并不意味着企业不再需要基础架构专家一样。它只是有助于减少瑕疵进入生产的可能性,或减缓部署。
DevSecOps遭遇的危机

来自Sumo Logic公司的Gerchow分享了DevSecOps文化的实例:当最近的Meltdown和Spectre消息出现时,团队的DevSecOps方法能够迅速做出响应,以减轻风险,而对内外部客户没有任何明显的干扰。 对云原生和受高度监管的公司来说非常重要。

第一步,Gerchow的小型安全团队(具备开发技能)能够通过Slack与其主要云供应商之一合作,确保基础设施在24小时内完全修补好。

“然后,我的团队立即开始了OS级别的修复,不需要给终端用户停机时间,也无需请求工程师,那样意味着要等待长时间的变更管理流程。所有这些变化都是通过Slack打开自动化Jira tickets进行的,并通过日志和分析解决方案进行监控,“Gerchow解释说。

这听起来像DevOps文化,正确的人员、流程和工具组合相匹配,但它明确地将安全作为该文化和组合的一部分。

Gerchow说:“在传统环境下,停机需要花费数周或数月的时间,因为开发、运营和安全这三项功能都是孤立的。凭借DevSecOps流程和理念,终端用户可以通过简单的沟通和当天的修复获得无缝的体验。”

02
2018DevSecOps三大预测

2018年企业的DevSecOps将迎来一些真正的变革。

对于DevSecOps来说,2017年是美好的一年,DevSecOps从一个半朦胧的概念演变成可行的企业功能。

容器和容器市场的迅速扩张在很大程度上推动了这一演变,容器市场本质上与DevOps和DevSecOps相互交织在一起。一般来说,快速增长和创新往往比科学更能预测趋势,但我仍然愿意尝试一下。

从Docker Hub和成熟的容器生态系统中获取了超过120亿张图片,就企业的DevSecOps而言,我们几乎看不到冰山的一角。不过,相信在2018年,我们将看到:基础变革的开始。我认为它会是这样的:

1.企业领导者和IT利益相关者意识到DevSecOps正在改进DevOps
DevOps将开发团队和运维团队聚在一起,它推动协作文化不足为奇。加入安全举措可能听起来很简单,但多年来,安全问题一直是事后的事情,导致企业文化容易使安全团队与其他IT团队形成对立,包括开发团队。

但是事情发生了变化。

在雅虎亏损3.5亿美元的商业环境下,暴露了其脆弱的安全状况,企业领导者将网络安全看作是一个运维sinkhole的时代已经结束。加强网络安全现在是企业的当务之急。但这种转变需要时间才能重新回到IT文化中。

DevOps和DevSecOps的崛起无疑为重塑应用程序安全性创造了一个难得且令人兴奋的机会,但是DevOps可能会导致转变速度发生变化。DevOps团队和应用程序架构师每天都能够认识到安全的重要性,并欢迎安全团队的加入,但他们之间仍然存在需要磨合的鸿沟。

为正确实施DevSecOps,安全团队需要与DevOps团队保持一致,企业领导者需要为此打造空间和预算。到2019年,希望企业领导人能够意识到推动一个重要的、合法的安全胜利的机会。

2.成功的组织模式将会出现,最可能的是,安全与DevOps团队之间的紧密协作。

虽然该预测并不特别具有启发性,但是相关的。了解DevSecOps需要来自安全和DevOps团队的平等协作,快速跟踪标准蓝图或实施模型,将DevSecOps集成(并最终自动化)到CI / CD进程中。

虽然不同企业有不同的需求,但大多数公司都使用相同的技术工具,特别是在使用容器的情况下。这就为统一的标准化提供了条件。此外,容器的开源特性可以促进相关信息的共享和标准开发。

到目前为止,由于DevOps团队拥有开发流程,他们一直在安全方面处于领先地位。然而,我认为,DevSecOps需要由安全团队领导, 他们是负责企业安全和风险的人,当安全事故发生时,他们会被解雇或被迫离开。

2018年,安全团队需要加强并展示团队的价值和技能。将安全性融入到IT结构中,而不是在网络安全问题成为事实之后才想起。现在我们有机会来实现这一目标。

3.安全团队仍然要缓慢适应DevOps的现实

过去,企业安全团队通常在不重视或不了解安全需要的文化中运营。难怪今天的电商环境是大多数企业相对容易被破坏的环境。

强大的安全性不仅仅是外围的防火墙。尽管许多安全专家可能最终会看到这种转变,但可能不像DevOps团队所期望的那样灵活。当谈到容器(通常是appsec)时,即使是最有才华和最优秀的安全专家也会面临学习的瓶颈。更不用说已经被充分证明的网络安全技能短缺的现状。

虽然这些因素可能在短期内降低安全对DevOps和 DevSecOps的支持,但是我认为DevSecOps是解决技能短缺问题的一部分。将安全集成到应用程序交付过程中,并将其自动化比用回溯方法更有效率和更具成本效益,可以解决在部署应用程序之前解决安全漏洞。安全专业人士可以通过开放的态度,以新的方式发挥他们的才能,从而获得很多收益。

2018年希望这个故事有一个快乐的结局。

原文链接:
1、3 predictions for devsecops in 2018
https://www.infoworld.com/article/3243155/devops/3-predictions-for-devsecops-in-2018.html
2、 Why DevSecOps matters to IT leaders
https://enterprisersproject.com/article/2018/1/why-devsecops-matters-it-leaders

本文由广东十一选五开奖发布于计算机网络,转载请注明出处:4大维度3大预测,基于容器生态扩张的DevSecOps为啥

关键词:

上一篇:没有了

下一篇:没有了