企业未能掌握Devsecops

虽然越来越多的企业正在组合他们的应用程序开发和IT运营团队，但Devops与安全操作的集成在后面滞后。

这是由全球技术服务提供商Claranet委托的研究的主要发现，尽管88％的英国企业所采用Devops方法或计划在未来几年内采用，但只有19％的人完全对他们整合安全的能力充满信心。

研究报告称，这种缺乏关于整合安全性的安全性的信心，强调了企业为自己为自己创造的潜在数据安全风险。尤其是Devops倾向于在IT部门内部需要在IT部门内嵌入和自动化最佳实践进入Devops生命周期的工作。

由市场研究公司Vanson Bourne进行的研究包括来自英国和美国业务的300名受访者。它发现，英国组织的一半（47％）采用了一个Devops方法，额外的41％的计划在未来几年内实现这一现实，表明Devops正在成为许多人的事实上IT部门。

然而，当既然五分之一的组织怀疑他们提供Devsecops的能力时，研究报告称，Devops能力与Devsecops准备就会显然存在​​显着的断开。

该报告警告说，这种缺乏对Devops进程的一部分的全面强调安全性可能会导致数据安全问题。

评论在NotsoSecure（Claranet集团公司）主任Sumit Siddharth（Claranet集团公司）的调查结果，表示拥抱Devops显然是英国大多数IT领导人的头脑的最前沿，这为鼓励提供了一些原因。

“但总体缺乏安全最佳实践的整合到这个过程中表明，对于许多企业来说，安全仍被视为与开发生命周期单独管理的东西，而不是从端到端纳入其中，”Siddharth说。

鉴于作为Devops固有特征的频繁的开发周期，SiddhArth表示，看到安全性作为单独的实体可以缓慢处理并降低效率。

“这要么妥协，敏捷是任何抛弃哲学的敏捷性，或者导致窗户可以释放漏洞，直到下一个安全测试周期，”他补充道。

为了解决这个问题并帮助IT部门能够有效地转向Devsecops方法，他表示，整个IT部门的工作人员都是必不可少的，这是通过在整个Devops生命周期内采用安全测试和连续监测和分析的新方法。

“为了做到这一点，企业应该愿意争取在符合Devsecops挑战的第三方的专业知识，”他说。

虽然Devsecops的好处是明确的，但Siddharth表示，使其成为一个复杂的过程。“求解如何实施和自动化应用程序安全 - 例如连续监控和静态分析 - 在现有的连续集成/连续开发管道中需要时间和精力，因此组织在如何实现这一目标方面接受深入指导是重要的，”他加了。

他说，安全测试的新方法，如连续安全测试，需要用于确保任何测试方法都在跟上更改允许的方法允许的速度。

“此指导应根据参与Devsecops流程的每个人量身定制。开发团队需要接受培训，以提高其安全意识和POUT，他们如何与他们的安全为中心的同事合作，安全人员将从学习其作用如何在更广泛的Devops生态系统内受益。如果可以将这些以前不同的组成部分汇集在一起​​，则遵循有效的DevSecops哲学将遵循，“他说。