写点什么

2021 年编排将成为 DevSecOps 关键推动者

用户头像
啸天
关注
发布于: 2021 年 01 月 14 日
2021年编排将成为DevSecOps关键推动者

DevSecOps 假设组织将把应用程序安全的责任进一步转移给开发人员。如果这个假设是正确的,那么开发人员显然需要访问一系列代码分析工具来完成这个目标。开发人员面临的挑战是在 DevSecOps 工作流中整合来自多个供应商的工具。在开发过程中的不同阶段,使用静态应用程序安全工具(SAST)和动态应用程序安全工具(DAST)在部署应用程序之前对其进行测试是非常必要的。

毫不奇怪,这些工具的提供者开始与安全编排引擎提供者保持一致。例如,zeronnorth 最近将 SAST 工具的提供商 ShiftLeft 添加到可以通过其软件即服务(SaaS)平台编排的安全工具列表中。


ZeroNorth 产品营销总监 Joanne Godfrey 表示,拥抱 DevSecOps 的组织正在对两到三种安全工具进行标准化。Godfrey 说,这降低了过度依赖单一工具发现漏洞的风险。没有一个安全工具能够及时发现所有可能的漏洞,因此 DevOps 团队必须尽力将多个安全工具集成到他们的工作流程中。

开发人员需要能够在编写代码时识别漏洞的工具。开发人员还应该构建测试,以便在将漏洞合并到更大的构建中之前主动标记这些漏洞。然而,新的漏洞总是被发现,对于昨天被认为安全的容器构建来说,突然需要尽快更新并不少见。DevOps 团队还需要保护运行时和部署应用程序构建的主机,这通常需要与通常负责管理平台安全性和 DevSecOps 的安全团队进行更多的协作。

尽管需要密切合作,但 DevOps 和安全团队之间的文化差异往往很大。尽管人们对 DevSecOps 的最佳实践非常感兴趣,但当有交付期限时,开发人员并不总是优先考虑应用程序安全性。这通常会导致安全问题在应用程序开发过程的后期得到解决,或者更糟的是,在应用程序部署到生产环境后,作为更新的一部分在事后得到解决。

随着应用程序开发的加速,迫切需要弥合 DevOps 和安全团队之间的鸿沟。人手不足的安全团队根本无法跟上应用程序构建、部署和更新的速度。将更多的应用程序安全责任留给开发人员的需求与日俱增。

现在的挑战是,IT 主管不仅要简单地提供一个空洞的 DevSecOps 布道,还需要实践他们所讲的内容,并为开发人员提供保护其应用程序所需的流程和工具。


原文:https://devops.com/orchestration-emerges-as-crucial-devsecops-enabler-in-2021/


发布于: 2021 年 01 月 14 日阅读数: 74
用户头像

啸天

关注

安全不是某个人的事情,而是所有人的事情。 2012.05.08 加入

CISSP,安全架构师,AWS认证安全专家,OWASP中国广东分会负责人

评论

发布
暂无评论
2021年编排将成为DevSecOps关键推动者