官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
DevSecOps强调将安全融入IT生命周期的每个阶段,要求把安全责任从安全团队迁移至整个企业。
报告关键发现
1. 从瀑布模型到敏捷模型,持续交付、持续部署CI/CD成DevSecOps核心理念。
2. 在DevSecOps主流工具链中,AST类测试工具是验证应用开发、编码阶段安全性的关键。其中,IAST尚处于探索阶段,其交互式测试模式使之具备高增长潜力。
3. 从微服务走向无服务将会成为未来DevSecOps的主流发展趋势,以进一步降低计算资源成本并实现按需扩展、按需付费。
4. DevSecOps实践形态将不再局限于将安全工具嵌入DevOps平台,而是直接成为独立的一体化平台。
5. DevSecOps未来将以无感知安全为核心目标,尽可能降低安全工具对于企业业务生产及运作的干扰。
DevSecOps 不是一项单一的技术能力,而是一套流程化的企业安全建设体系。随着DevSecOps逐渐成为安全行业备受关注的新热点,“安全左移“、安全责任归属、敏捷开发、敏捷交付等相关话题也得到了业界的广泛讨论。在此背景下,FreeBuf咨询特别发布《洞察DevSecOps发展历程背后的安全指引》报告,在剖析DevSecOps实践路径、应用工具使用现状的同时,也从DevSecOps的发展历程入手,洞察企业安全建设中的策略调整与未来规划趋势。
DevSecOps概念演进路线
DevSecOps的概念最早于2012年被Gartner分析师首次提出。2016年,Gartner发布业内首份DevSecOps报告,对DevSecOps及配套解决方案进行详细分析。2017年RSAC会议引入DevSecOps概念,提出“安全左移“的概念。
随后DevSecOps的理念受到RSAC的持续关注,在之后几年的会议中相继提出CI/CD黄金管道、设立“DevOps Connet“子主题,组织内部DevSecOps转型方法等内容,分别强调自动化工具链的使用、DevSecOps落地实践中的文化融合意义以及人在DevSecOps中的重要性。
当前,将风险管理、合规治理等多重因素融入DevSecOps框架成为业界主流趋势。
DevSecOps引入占比逐年提升
中国信通院数据显示。近年来,大型企业DevSecOps引入占比逐年递增,从2020年的不到5成(41.3%)增至2022年超6成的水平(63.5%), 其复合增长率超过20%。
此外,从组织架构层面而言,安全责任逐渐从安全团队向整体企业迁移。根据GitLab 发布的2022年DevSecOps调查显示,超53%的受访企业认为安全属于企业中每个人的责任。
DevSecOps嵌入CI/CD全流程
DevSecOps的核心在于将安全性融入软件开发生命周期的每个决策阶段,具体包括:规划、编码及开发、代码推送、软件测试、软件发布前、部署、运维阶段。
与此同时,企业应对可能存在的违规行为进行持续监控,跟踪系统性能并在早期阶段识别任何漏洞,以适应不断变化的业务及外部环境。
编码阶段安全性受高度关注
中国信通院对DevSecOps技术工具实践现状按照阶段进行统计,具体包括需求与设计阶段、编码阶段、验证阶段、预发布阶段及运行阶段。根据FreeBuf咨询的梳理,编码阶段的安全性受到企业最高的关注程度。
报告全文见下图:
关于FreeBuf咨询
FreeBuf咨询集结安全行业经验丰富的安全专家和分析师,常年对网络安全技术、行业动态保持追踪,洞悉安全行业现状和趋势,呈现最专业的研究与咨询服务,主要输出四个种类的咨询报告:行业研究报告、能力评估报告、产品研究报告以及甲方定制化报告。
FreeBuf咨询自成立以来, 已积累了500+ 甲方安全智库资源,为行业研究报告、企业咨询服务提供指导。访谈上百位行业大咖,为业界输出真实、丰富的安全管理价值与实践经验,具备超过80万+ 精准用户,直接触达CSO、企业安全专家、投资人等专业人群。
如有疑问,请联系 FreeBuf 咨询 朱先生 :
电话:16601757018