研究表明,Devops在很大程度上没有改善安全性
一项研究已经揭示了许多正在组合应用程序开发和系统运营团队的组织未能通过这种Devops方法提高安全性。
尽管通过在应用程序生命周期中更频繁地查找和修复漏洞,但仍然是更安全的软件开发的承诺。
根据Hewlett Packard Enterprise(HPE)发布的应用程序安全和Devops报告,表明安全Devops的感知与现实之间的差距和强调对齐安全和Devops的重要性。
该报告使用HPE安全团队,行业领导,企业和开发人员的数据和分析来突出安全Devops的承诺与现实之间的差距和障碍。它还审查了许多组织面临跨越Devops的安全的挑战,并提供建议加强这些举措。
根据该报告,99%的受访者认为采用Devops文化有机会改善申请安全。
然而,在开发期间只有20%的应用安全测试,17%不使用任何保护其应用的技术。这一报告称,这是强调安全Devops的感知与现实之间的重大脱节。
“我们的研究表明,安全领导者和开发人员认为Devops运动有可能显着提高应用程序安全性,但组织正在努力实现迄今为止的潜力,”强化事业副总裁兼总经理杰森施密特表示HPE安全。
“通过了解当前的Devops和将安全性集成到发展文化的最佳实践状态,组织可以在这种新的Devops世界中成功地保护软件,而不会阻碍它带来的速度和灵活性,”他说。
该报告识别关键障碍和阻碍组织成功整合安全性和DevOps的关键障碍和差距,例如安全专业人士和开发人员之间的组织障碍。
该报告显示开发人员和安全团队之间的重大脱离,在某些情况下,受访者甚至不知道其安全队伍才能承认。这导致了90%的安全专业人士,声明,自组织部署Devops以来,集成应用程序安全性变得更加困难。
该报告还研究了开发商的安全意识,重点和培训。在Fortune 1000公司的软件开发人员中出售超过100个职位,没有指定的安全或安全的编码经验和知识,作为所需技能的一部分。
应用安全人才的短缺也被报告确定为问题。对于调查的组织中的每80名开发人员,只有一个应用程序安全专业人员。报告称,缺乏安保人员,随着越来越快速的发展周期,使安全发展极为困难。
“采用DevOps进程可以帮助制造应用程序更安全,自开发和生产环境是相同的方式和相同的安全标准和测试,”Burberry的集团信息安全官员说。
“但是,它需要对整个组织的承诺来确定安全性,并包含更自动化的测试,以便在整个开发过程中更容易收集实时反馈和修复漏洞,”他说。
随着组织采取Devops文化,该报告建议措施去除安全申请发展的障碍,并将安全与Devops集成。
该报告建议安全应对本组织的共同责任来消除障碍。报告称,它必须嵌入整个发展过程的每个阶段,举行的行政支持和指标,持有责任以获得安全发展的团队。这些指标应专注于平均分隔和卑微的时间。
公司应该努力弥合,通过使开发人员无缝和更直观地练习安全发展,努力提高意识,重点和培训差距。
该报告所述,组织应将安全工具集成到开发生态系统中,允许开发人员在编写代码时实时查找和修复漏洞。该报告称,这使得安全性迅速且有效地开发,并教育开发人员在该过程中的安全编码中。
该报告还表示,公司应该使用自动化和分析作为应用安全力量乘法器。
组织应使用企业级应用程序安全自动化与分析内置的,以自动化应用程序安全测试审计流程,并允许其应用程序安全专业人员仅关注最高优先级风险。
报告称,这减少了需要手动审查的安全问题的数量,节省时间和资源,同时降低整体风险曝光。