DevSecOps现状:理论叫得响,实践待发展

近年来,DevSecOps 的理念越叫越响,业内似乎对此都喜闻乐见,但是 DevSecOps 在具体实践上还有待发展。

DevOps 快速发展,SecOps 成为牺牲者

DevOps 就是开发与运营相结合,最初源自打破业务隔离、整体作战创造更高效率的理念。目前,越来越多的人意识到在开发过程中将安全融入到新产品的重要性,而且对于产品安全的监管需求也也越来越严格,因此,当前流行的理念是将安全纳入新的组合式工作模型:DevSecOps。

很多人都认可甚至迫切想看到 DevSecOps 发挥优势,但事实情况确是有关 DevSecOps 的实践并不多见。美国威胁检测公司 Threat Stack 的一项新调查和报告表明,DevSecOps 仍然停留在理论阶段。

DevSecOps现状:理论叫得响,实践待发展

Threat Stack 针对北美大公司和中小企业的 200 多名安全、开发和运营专业人员发起了问卷调查,结果显示,DevSecOps 的理念易于理解和接受,也经常受到公司赞誉,但却没有多少实践案例。造成这种情况的主要原因是缺少高层的支持,业务领导者甚对此并不鼓励。52% 的公司承认会削减安全措施,以便在截止日期前完成目标。报告作者表示:速度成为开发业务中的首要目标,往往需要牺牲安全。

业务领导者对于开发速度的追求促成了许多 DevOps 团队。62% 的受访者表示,DevOps 不利于在产品中实现安全技术部署;57% 的受访者认为 DevOps 阻碍了安全最佳实践。主要原因都是安全考量与高速开发互相掣肘。

DevSecOps现状:理论叫得响,实践待发展

这种情形其实很常见。飞塔安全战略专家 Mike Smart 把安全比喻成汽车的刹车。业务领导者总认为安全会减慢业务发展,就像刹车会减缓汽车的速度一样。创新者的观点则恰恰相反:刹车赋予司机勇气和信息,让他们跑得尽可能快(而不担心停不下来)。”从这个角度看,安全其实是业务灵活发展的催化剂,但事实往往是安全负责人无法向业务领导者充分解释安全的功用。

调查结果还显示,很多人都乐于接受 DevSecOps 的理念。85% 的受访组织认为缩小 DevOps 和安全之间的差距应当成为企业的重大目标。而 62% 的开发者和运营专家认为把安全融入 DevOps 已成为重中之重。

安全与 DevOps  分割的三大关键因素

DevSecOps现状:理论叫得响,实践待发展

首先,安全仍然是孤立的;人们依然认为安全是个单独的功能。调查报告指出:

在全部调查的企业组织中,只有 27% 的运营团队配备了安全专家。只有 18% 的开发团队配备了安全专家。在 38% 的企业组织中,安全团队是一个完全独立的团队,只有在需要的时候才会启用。

其次,开发与安全分割;

44% 的开发人员没有接受过安全编码的培训。如果没有这些基础知识,开发人员会在不考虑安全的情况下完成编码。这导致安全必须介入开发的时候,成为了一大瓶颈。

第三,安全与运营分割;

高达 42% 的运营人员承认没有接受过基本安全实践方面的培训,这意味着他们无法安全地配置服务器,也意味着他们没有意识到安全性部署应当成为配置管理过程的一部分,结果导致安全最佳实践无法落地。如果运营专业人员不接受安全培训,SecOps 也无法成功。

安全本身也是造成 DevSecOps 无法开展的一个因素。很多开发人员无法安全编写代码,而安全团队也很少有会写代码的成员。Threat Stack 建议安全团队“学习如何编写代码,并将安全工作集成到持续的部署周期当中。不能等到出问题了才去考虑安全,必须有意识且连贯地对整个团队进行安全教育。”

如何应对?

Threat Stack 主席兼首席执行官 Brian Ahern 表示:

企业多年来一直在“速度或安全”当中做选择,SecOps 实践的出现意味着企业可以同时实现这两个目标。调查结果显示,绝大多数公司已经引入了 SecOps,但是实践 SecOps 往往与企业快速发展的业务之间存在巨大差距。对于企业而言,每个企业的利益相关者都应该优先考虑 DevOps 和安全,这至关重要。

DevSecOps现状:理论叫得响,实践待发展

促进 DevSecOps 高效发展的关键在于打破安全与 DevOps 之间的独立状态,不仅要将人为划分的孤立团体融合起来,还要转变企业将安全与 DevOps 隔离开的传统意识。

原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/54525.html

(0)
上一篇 2021年8月7日
下一篇 2021年8月7日

相关推荐

发表回复

登录后才能评论