不仅仅是安全左移,DevSecOps发展历程背后的安全指引|FreeBuf咨询洞察
2023-1-12 15:17:2 Author: www.freebuf.com(查看原文) 阅读量:7 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

1673507486_63bfb29ee0232172459a7.png!small

DevSecOps强调将安全融入IT生命周期的每个阶段,要求把安全责任从安全团队迁移至整个企业。

报告关键发现

1. 从瀑布模型到敏捷模型,持续交付、持续部署CI/CD成DevSecOps核心理念。

2. 在DevSecOps主流工具链中,AST类测试工具是验证应用开发、编码阶段安全性的关键。其中,IAST尚处于探索阶段,其交互式测试模式使之具备高增长潜力。

3. 从微服务走向无服务将会成为未来DevSecOps的主流发展趋势,以进一步降低计算资源成本并实现按需扩展、按需付费。

4. DevSecOps实践形态将不再局限于将安全工具嵌入DevOps平台,而是直接成为独立的一体化平台。

5. DevSecOps未来将以无感知安全为核心目标,尽可能降低安全工具对于企业业务生产及运作的干扰。

DevSecOps 不是一项单一的技术能力,而是一套流程化的企业安全建设体系。随着DevSecOps逐渐成为安全行业备受关注的新热点,“安全左移“、安全责任归属、敏捷开发、敏捷交付等相关话题也得到了业界的广泛讨论。在此背景下,FreeBuf咨询特别发布《洞察DevSecOps发展历程背后的安全指引》报告,在剖析DevSecOps实践路径、应用工具使用现状的同时,也从DevSecOps的发展历程入手,洞察企业安全建设中的策略调整与未来规划趋势。

DevSecOps概念演进路线

DevSecOps的概念最早于2012年被Gartner分析师首次提出。2016年,Gartner发布业内首份DevSecOps报告,对DevSecOps及配套解决方案进行详细分析。2017年RSAC会议引入DevSecOps概念,提出“安全左移“的概念。

随后DevSecOps的理念受到RSAC的持续关注,在之后几年的会议中相继提出CI/CD黄金管道、设立“DevOps Connet“子主题,组织内部DevSecOps转型方法等内容,分别强调自动化工具链的使用、DevSecOps落地实践中的文化融合意义以及人在DevSecOps中的重要性。

当前,将风险管理、合规治理等多重因素融入DevSecOps框架成为业界主流趋势。

1673507573_63bfb2f5042b98a903758.png!small

DevSecOps引入占比逐年提升

中国信通院数据显示。近年来,大型企业DevSecOps引入占比逐年递增,从2020年的不到5成(41.3%)增至2022年超6成的水平(63.5%), 其复合增长率超过20%。

此外,从组织架构层面而言,安全责任逐渐从安全团队向整体企业迁移。根据GitLab 发布的2022年DevSecOps调查显示,超53%的受访企业认为安全属于企业中每个人的责任。

1673507580_63bfb2fc080001756b7ec.png!small

DevSecOps嵌入CI/CD全流程

DevSecOps的核心在于将安全性融入软件开发生命周期的每个决策阶段,具体包括:规划、编码及开发、代码推送、软件测试、软件发布前、部署、运维阶段。

与此同时,企业应对可能存在的违规行为进行持续监控,跟踪系统性能并在早期阶段识别任何漏洞,以适应不断变化的业务及外部环境。

1673507590_63bfb3069e2c71a27c4ca.png!small

编码阶段安全性受高度关注

中国信通院对DevSecOps技术工具实践现状按照阶段进行统计,具体包括需求与设计阶段、编码阶段、验证阶段、预发布阶段及运行阶段。根据FreeBuf咨询的梳理,编码阶段的安全性受到企业最高的关注程度。

1673507600_63bfb31050c7e0fca8328.png!small

报告全文见下图:

关于FreeBuf咨询

FreeBuf咨询集结安全行业经验丰富的安全专家和分析师,常年对网络安全技术、行业动态保持追踪,洞悉安全行业现状和趋势,呈现最专业的研究与咨询服务,主要输出四个种类的咨询报告:行业研究报告、能力评估报告、产品研究报告以及甲方定制化报告。

FreeBuf咨询自成立以来, 已积累了500+ 甲方安全智库资源,为行业研究报告、企业咨询服务提供指导。访谈上百位行业大咖,为业界输出真实、丰富的安全管理价值与实践经验,具备超过80万+ 精准用户,直接触达CSO、企业安全专家、投资人等专业人群。

如有疑问,请联系 FreeBuf 咨询 朱先生 :

电话:16601757018

邮箱:[email protected]


文章来源: https://www.freebuf.com/articles/paper/355066.html
如有侵权请联系:admin#unsafe.sh