Devsecops是联合对立力量的关键
2019年12月Microsoft补丁获取全清除
靠近Castaway,您的手机的Chrome OS加载项
Google Health Pioneers乳腺癌AI扫描
伦敦5G运营商使混合开始服务生活
Cisco Bolsters低延迟网络与Exableaze收购
只有10%的英国家庭和企业可以访问全纤维宽带
网络女孩第一志愿者鼓励女孩们认为高科技
2019年十大数据周边地区
TSB程序在报告上崩溃了
西联汇款转移到AWS云
欧洲首先是沃达丰作为全球电信调整AWS波长
Swisscom将一步朝着全国5G覆盖范围
如何摆脱传统的桌面生产力
家庭办公室详情七分计划将移民技术团队的云成本降至40%
乍一看,数字银行的圣杯乍一看,一个新的渠道,不是一个新的概念
Techuk呼吁DataceRe Sector扩大气候变化行动努力
ZOPA为客户开设对其银行产品的测试
刑事法院审查委员会审查Horizo​​ n判决'迅速'
欧洲州宣布计划“超额充电”投资光纤宽带
LGBTQIA的三分之一是科技人士认为有一个工资差距
2019年云计算在阿联酋的潮流
技术的妇女的百分比仍然低于16%,10年来少于增长
银行让客户用混合的安全方法
勒索制造商作者正在寻求新的方式来避免被发现
时尚零售商allsaints正在使用谷歌云来处理在线购物流量峰值
政治和不灵活的遗留技术史化剧中的创新
保守派敦促加入劳动,LIB DEMS和SNP致力于选举后IR35审查
Microsoft在荷兰MOJ审计后增加了企业的数据保护
Synchronoss在跨载波消息倡议中加入美国大四个运营商
黑客突然利用5G到Wi-Fi切换缺陷
许多公司未能赋予员工数据驱动的决策
蓬勃发展的宽带将欧盟电缆驱动到新的高位
UploadCare获取1.7亿美元的现金投资,以扩展CDN
SodInokibi成为企业的多样化,多矢量威胁
Natwest银行使用人工智能来预测未来
DWP如何举起二十年外包来采用云第一型号
网络刑事合作加剧
通过网络中断三次击中
驱动北欧数据中心转型
MyRiota和Optus签署物联网连接
谷歌对“录制录制”绿色能源应对欧洲数据中心扩张承诺
Mirai后代主导IOT威胁环境
CityFibre扩展了数字批发解决方案的连接优惠
大多数英国金融公司过去一年受到网络攻击的影响
举报人:James Glenn的思科战斗在网络安全方面打开了新的前线
智能电表推出延迟到2024
虚拟仪器在V6.2中带来自动VM右侧尺寸
ico以探究国王十字架的面部识别
SAP Cloud收入由Microsoft交易提升
您的位置:首页 >论坛 > 研究报告 >

Devsecops是联合对立力量的关键

2021-09-05 12:44:09 [来源]:

根据Cyber​​ Security公司Venafi的高级系统工程师的账单Madell的说法,将应用程序开发和IT行动组合形成Devops团队的实践越来越受到商业领导者的流行,而是与许多安全团队不受欢迎。

“Devops允许企业比以往更快地代码和部署,让他们在竞争中获得较快的发布,”他说。

最近由全球技术服务委托的搜索委托,ProviderClanet发现,88%的英国企业已采用Devops方法或计划在未来几年内采纳一个。

然而,尽管Devops的优势说,Madell说,安全团队经常认为它是“危险地快速”,而且在不妥善关注安全的情况下运营。“另一方面,Devops认为安全性作为一种负担,以减缓它们并阻止他们跟上数字经济的需求和更广泛的事业,”他说。

马德尔说,产品和服务更快地开发产品和服务的业务益处意味着Devops已成为一个成熟而增长的趋势。“Cisos和Cios需要找到一种方法来弥合Devops和安全性之间的逻辑,并且因为减速DevOps不是一个选择,Devsecops是唯一的选择,”他说。

他说,DevSecops将安全性与Devops一起加速到与Devops相同的速度,允许公司保留敏捷性,同时删除漏洞。“DevSecops对于寻求快速发布新产品和服务而不增加安全风险的公司至关重要。”

马德尔说,在安全和Devops之间的紧张关系中,他们有不同的驱动因素和风险。

Devops团队的推动需要缩短开发周期,以降低对市场慢的风险而不是竞争,结果表明,具有高性能Devops团队的公司的部署公司比竞争对手更快,恢复时间更快12倍当问题出现时,更有可能超过其盈利能力和生产力目标。

另一方面,安全团队专注于将企业免受内部和外部威胁的安全。安全团队的首要任务是确保没有人能够获得未经授权的访问或提供恶意软件有效载荷。

“虽然Devops本质上是为了尽可能多的障碍而导致尽可能多的障碍,因为每一个额外的过程都变得危险,但安全性更加谨慎,并且希望花时间严格测试所有新的服务和应用,以确保没有缺点马德尔说,对组织的风险构成。““这让他们直接反对Devops,由此产生的文化冲突可能会产生严重的摩擦力。

“两支球队都以公司的最佳利益行事,而是通过朝着相反的方向拉动,两侧的风险增加。”

在这种情况下,Madell说,研究表明,只有三分之一(36%)Devops团队表示安全性参与了新技术的设计和部署。“这是最糟糕的结果,因为现在,Devops团队不仅从事不安全的实践,而且安全就没有关于真正发生的事情,以便试图减轻潜在的威胁,”他说。

马德尔说,这是一个明确的例子是机器身份。A10网络的研究发现,Devops团队定期参与不安全的实践,例如使用自签名证书或在代码进入生产时未能替换测试证书。

“这些误操作会产生重大的安全风险,”他说。“如果黑客发现这些弱点,他们可以使用它们来使用恶意软件来渗透组织,执行中间人的[MITM]攻击或抵抗敏感数据。”

这种安全问题产生了Devops团队在压力下,尽快获得新的释放,因此没有时间在Madell每次都会通过证书颁发机构通过征用过程。

“然而,由于这些遗漏的漏洞创造了,安全需要解决它而不会放慢DevOps,”他说。“安全需要从拒绝接受Devops方法来查找可以安全地完成Devops的方法。”

根据Madell的说法,前进的方式是通过将安全进程带到同样的速度并涉及Devops进程的安全性,使得Devops能够以业务需求的步伐移动。

“这使对话远离对抗,并在寻找以速度保持安全的方式方面的合作,”他说。“这是自动化的关键。自动化可以满足DevOps和安全性的需求,因为它很快,可靠且易于验证。“

Madell表示,通过自动化在诸如测试和部署之类的关键领域,如测试和部署等关键领域,安全专业人员释放以持续改进。

“自动化意味着Devops删除障碍,因为它们并未放慢速度,而安全性可以相信始终遵循关键过程,”他添加。

在机器身份的背景下,Madell表示,自动化证书配置过程消除了可能发生安全错误的条件。“一旦代码准备进入生产,就会要求并应用正确的证书,而不需要任何繁荣的开发人员,”他说。

“因此,我们在不放缓Devops的管道上实现安全过程。Devops可以自由地专注于迅速编码和交付,而安全性避免了减慢的Devops,因为他们知道安全的程序是一致的和自动遵循的。“

现在,Devops已经成为主流,Madell表示,公司尽快了解和拥抱Devsecops至关重要。“由于安全风险,他们不应该害怕Devops - 这是编码持续发展和部署的未来 - 那些未能采用的人将被留下,”他说。

“但是,如果没有安全监督和投入,Devops团队将在急忙部署时释放一个部落的漏洞。唯一的解决方案是企业将安全性带到Devops的速度与Devops相同,并在文化和技术上获得两个和谐。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。