企业未能掌握Devsecops
虽然越来越多的企业正在组合他们的应用程序开发和IT运营团队,但Devops与安全操作的集成在后面滞后。
这是由全球技术服务提供商Claranet委托的研究的主要发现,尽管88%的英国企业所采用Devops方法或计划在未来几年内采用,但只有19%的人完全对他们整合安全的能力充满信心。
研究报告称,这种缺乏关于整合安全性的安全性的信心,强调了企业为自己为自己创造的潜在数据安全风险。尤其是Devops倾向于在IT部门内部需要在IT部门内嵌入和自动化最佳实践进入Devops生命周期的工作。
由市场研究公司Vanson Bourne进行的研究包括来自英国和美国业务的300名受访者。它发现,英国组织的一半(47%)采用了一个Devops方法,额外的41%的计划在未来几年内实现这一现实,表明Devops正在成为许多人的事实上IT部门。
然而,当既然五分之一的组织怀疑他们提供Devsecops的能力时,研究报告称,Devops能力与Devsecops准备就会显然存在显着的断开。
该报告警告说,这种缺乏对Devops进程的一部分的全面强调安全性可能会导致数据安全问题。
评论在NotsoSecure(Claranet集团公司)主任Sumit Siddharth(Claranet集团公司)的调查结果,表示拥抱Devops显然是英国大多数IT领导人的头脑的最前沿,这为鼓励提供了一些原因。
“但总体缺乏安全最佳实践的整合到这个过程中表明,对于许多企业来说,安全仍被视为与开发生命周期单独管理的东西,而不是从端到端纳入其中,”Siddharth说。
鉴于作为Devops固有特征的频繁的开发周期,SiddhArth表示,看到安全性作为单独的实体可以缓慢处理并降低效率。
“这要么妥协,敏捷是任何抛弃哲学的敏捷性,或者导致窗户可以释放漏洞,直到下一个安全测试周期,”他补充道。
为了解决这个问题并帮助IT部门能够有效地转向Devsecops方法,他表示,整个IT部门的工作人员都是必不可少的,这是通过在整个Devops生命周期内采用安全测试和连续监测和分析的新方法。
“为了做到这一点,企业应该愿意争取在符合Devsecops挑战的第三方的专业知识,”他说。
虽然Devsecops的好处是明确的,但Siddharth表示,使其成为一个复杂的过程。“求解如何实施和自动化应用程序安全 - 例如连续监控和静态分析 - 在现有的连续集成/连续开发管道中需要时间和精力,因此组织在如何实现这一目标方面接受深入指导是重要的,”他加了。
他说,安全测试的新方法,如连续安全测试,需要用于确保任何测试方法都在跟上更改允许的方法允许的速度。
“此指导应根据参与Devsecops流程的每个人量身定制。开发团队需要接受培训,以提高其安全意识和POUT,他们如何与他们的安全为中心的同事合作,安全人员将从学习其作用如何在更广泛的Devops生态系统内受益。如果可以将这些以前不同的组成部分汇集在一起,则遵循有效的DevSecops哲学将遵循,“他说。