持续的开发与交付过程中实时检测应用中的漏洞,可以让开发人员、运营团队与安全团队更加主动更加敏捷地处理任何冒出的问题。
当今这种应用驱动的经济推动了敏捷开发运维(DevOps)操作的采纳。如今,普通IT部门25%以上的人员构成来自DevOps团队。这些团队被赋予以更快的速度持续交付更高品质应用的任务,为业务增长提供诸多优势。据预测,2023年全球安全开发运维(DevSecOps)市场规模将达61亿美元,年复合增长率33%。
确保应用安全的重要性不断增加,DevSecOps功能也在不断进化发展。高达78%的公司企业宣称某种程度上引入了DevSecOps功能——开发人员、IT运营和安全专家紧密合作以更快地持续开发及交付安全应用与服务。
助力持续交付流水线往往要求DevSecOps团队在一天时间里就构建、测试、集成和部署多个全新发布。但随着部署流水线的速度越来越快,遗留潜在有害漏洞对用户造成影响的风险也增加了。
为更好地抵御潜在安全风险,避免因采取缓解动作引发延迟而造成用户影响,DevSecOps需要从开发之初就对整个服务交付基础设施、所支持的应用及其相互间依赖关系拥有完整的端到端可见性。
安全事件发生后分析数据肯定对取证调查有帮助,但在持续的开发与交付过程中实时检测应用中的漏洞,可以让开发人员、运营团队与安全团队更加主动更加敏捷地处理任何冒出的问题。
因此,有必要在开发之初就考虑应用安全需求,在开发过程早期便发现尽可能多的问题,而不是到开发过程末期才安全问题迭出。如果公司采用软件部署时间间隔较长的瀑布式开发方法,还有可能控制在整个过程的验证阶段发现应用安全漏洞的影响。而DevSecOps团队每天都要部署新发布的情况下,任何延迟都是不可接受的。
软件开发生命周期(SDLC)安全需求应成为考虑的重点,比如清除初始化和开发阶段的陷门、后门和隐秘信道。应在评估阶段对相关用例执行静态测试、动态测试、模糊测试和接口测试;维护阶段则应进行漏洞评估、渗透测试和持续监视以发现威胁和漏洞。
对SDLC中整个服务交付基础设施、应用及其相互依赖关系拥有端到端可见性,DevSecOps就能享受到通用态势感知,让开发人员能查看任意给定情况,在问题刚被发现的时候就协同动作加以解决,而不是直到生产环境中出现问题后再由运营或安全团队把问题摆到开发人员面前。
万物互联的今日世界里,无缝安全工作的数字体验是人们的普遍期待。然而,持续开发的加速、混合云基础设施的复杂度和向基于软件架构的微服务的迁移,令通过用众多特定于域的管理工具实现持续服务监视变得极其困难。虽然每个管理系统能对特定域提供细粒度的观测,比如网络、应用、服务器或数据库,但都缺乏对域间相互依赖性的深度视角,无法给DevSecOps团队提供通用态势感知。
想要获得对数据、网络、传输、会话和应用层上各种相互依赖的必要可见性,你需要智能数据,也就是基于处理和组织汇集点上的线缆数据或IP流,并为高速优质分析进行过优化的元数据。与需要先整理和分析的日志数据不同,智能数据实时分析开发周期及其后续阶段中网络上流转的每一个IP包。智能数据被用来交付有意义的可执行洞见,为SDLC所涉各方构建通用态势感知。
智能数据还能在事件发生时提供可执行情报,驱动DevSecOps每一个团队通向安全,迈向有效协作;从开发人员到运维再到品控,每个团队都完全清楚整个开发过程中遥测、依赖和自动化反馈都是怎么发展的。
企业的创新和持续成功取决于有效数字转型。DevSecOps团队全速产出高品质安全代码以完全解锁数字转型各项优势的同时,风险因素若隐若现。
为缓解该风险并避免部署阶段的潜在危害与延迟,必须在SDLC过程之初便嵌入安全,并在整个过程中持续监测安全状态。对服务交付基础设施、应用及其相互依赖关系的完整可见性,加上智能数据提供的持续监视,令DevSecOps能维持履行职能所需的速度与敏捷,拥有通用态势感知,可确保性能和安全中的潜在漏洞能在影响到终端用户前便被解决。
关于DevOps调查报告地址:
https://cloudplatformonline.com/rs/248-TPC-286/images/DORA-State%20of%20DevOps.pdf
文章转载自安全牛(www.aqniu.com)。作者,nana