DevSecOps失败的7个最常见原因DevSecOps在这些方面失败的一些原因。组织采用DevSecOps的原因有很多:实现数字化转型、更快地交付价值、获得竞争优势以及降低安全修复成本等。尽管急于实施和采用,但一些组织出于可避免的原因未能实施DevSecOps计划。以下是组织未能实施DevSecOps的7个最常见原因。1.未能建立学习文化根据研究公司麦肯锡公司最近发布的一份调查报告,人才和文化问题是组织在实施包括DevSecOps在内的数字化转型中面临的最大挑战。具有不断试验和持续学习文化的组织将在DevSecOps方面取得更大的成功。DevSecOps的实施可以通过日常学习,留出时间让员工学习和提升,并进行教育和培训来提高劳动力技能。这可以通过投资学习订阅、提供帮助和报销证书来实现。对于组织来说,通过与内部或外部技术专家的研讨会分享专业知识和经验也是有效的。2.忽视跨团队职能教育组织的开发团队和安全团队之间通常存在潜在的紧张关系。在学习文化的基础上,跨团队的职能教育必须作为消除孤岛和缓解紧张局势的更广泛任务的一部分。由Linux基金会和哈佛创新科学实验室进行的2020年自由和开源软件(FOSS)贡献者调查发现,FOSS开发人员仅将2.3%的工作时间用于提高代码安全性。他们经常使用“灵魂疲惫”之类的术语来描述安全编程和安全性的当前状态。在组织寻求提高安全性的时代,开发人员处于代码提交和生产升级之前缓解安全漏洞的最前沿,他们必须了解安全编码的组织价值,并有动力去编写更安全的代码。另一方面,他们也发现自己在“一切都是代码”的环境中运作。从应用程序代码、基础架构即代码(IaC)、合规性代码、Kubernetes清单和持续集成(CI)/持续交付(CD)管道YAML模板,代码无处不在。一个组织的安全专业人员不需要是优秀的开发人员,但他们应该了解高层次的编码实践,并能够审查常见错误配置和漏洞的模板。这也将改善两支球队之间的合作。3.忽视传达DevSecOps的商业价值任何DevSecOps的努力都应该与组织的关键业务目标联系起来。实施DevSecOps是一个转型之旅,需要组织主要利益相关者的支持和参与。因此,传达DevSecOps的商业价值至关重要。组织的高管必须清楚地了解为什么要实施DevSecOps。最有效的方法之一是通过DevOps研究与评估(DORA)协会提供的指标,尽管组织可以而且应该使用其他指标。正如卡内基梅隆大学软件工程研究所(SEI)的BillNichols所说,“指标必须易于访问、可用并且与业务目标相关。”传达DevSecOps的商业价值并使用指标来衡量它,可以确保组织的主要利益相关者和高层管理人员的支持。4.由于害怕失败而过度规避风险同样,成功采用DevSecOps的高绩效组织和团队也有学习文化。相比之下,一些组织由于害怕失败而过度规避风险。事实上,失败是学习过程的自然副产品。如果一个组织的团队和员工不在一个允许他们犯错误然后从错误中吸取教训并反复纠正错误的宽松环境中,那么成功采用DevSecOps的机会就很渺茫。组织必须授权团队成员不断学习、发现不足并提高能力。这只会发生在基于透明、安全和信任的环境中。另一种过度规避风险的方法是让安全成为实现DevSecOps的主要障碍。DevSecOps环境中的开发人员对安全性的一个常见抱怨是,“它很麻烦并且会减慢创新和交付速度。”这种抱怨不无道理。组织必须找到以尽可能少的障碍实施安全性的有效方法。这可以通过与开发人员工作流程集成、将安全专家嵌入开发团队以及在开发人员中培养安全冠军来实现。5、工具的扩张和碎片化如今,数字化转型和技术创新的步伐正在加快,带动了云原生领域的快速增长。这种增长提供了广泛而丰富的工具和应用程序选择,以帮助实现组织的DevSecOps目标。然而,工具数量的增加也为许多组织创造了一个更加复杂和脱节的环境。如果你看看云原生计算基金会(CNCF)所面临的环境,你可以看到这个环境的多样性。由于工具链的扩展,组织在可见性和生产力方面面临挑战。因此,组织希望采用工具链管理选项来解决他们的工具扩展及其带来的低效率问题。CloudNativeComputingFoundation的2021CloudNativeInteractiveLandscape这些问题并不是DevOps独有的。它的安全性还面临着与工具缩放相关的挑战。云计算安全联盟(CSA)2020年“基于云的智能生态系统”调查结果显示,大多数组织都在努力确定其安全工具是否有效并产生投资回报率(ROI)价值,他们的团队甚至难以跟上操作环境中的工具。在我们生活的快速发展和不断发展的IT生态系统中,工具蔓延和碎片化是真正的威胁。它们会影响可见性、生产力,最重要的是会影响安全性。威胁将继续扩散,如果组织缺乏真正的可见性和控制,他们将处于危险之中,甚至不知道自己处于危险之中。6.安全文化薄弱许多行业组织根本没有足够的安全专业人员。根据ISC22020网络安全劳动力研究,目前全球缺少312万网络安全专业人员。在许多组织中,安全专业人员的数量远远超过他们的开发人员和运营人员。虽然开发人员在软件开发生命周期(SDLC)的早期阶段处于缓解安全问题的关键位置,但运营团队已经确定了操作异常并为它们做好了准备,实现安全必须是团队的努力。建立安全文化始于认识到安全是组织中所有相关人员的责任。当然,安全问题和原则的沟通和意识还有很长的路要走。安全团队和工作人员必须转变为可以帮助实现共享成果的合作伙伴,同时将关键安全要求整合到这些工作中。7.认为DevSecOps可以“购买”许多组织急于实施DevSecOps,因为他们认为他们可以简单地“购买”DevSecOps。而“如果我们实施CI/CD管道,我们就是在做DevSecOps”的想法是不正确的。DevSecOps是一种可以通过人员、流程和技术来促进的方法,但这两种方法可能比技术更重要。如果不努力实现与敏捷性和DevSecOps原则相一致的文化,实施DevSecOps的组织不太可能成功。对于尚未根据上述原则和实践更新和实施新流程的组织,情况也可能如此。用现代技术和实践强制遗留运营模式只会导致组织混乱、效率低下和挫败感。对于致力于促进DevSecOps的团队和希望DevSecOps实现相关关键业务成果的领导层来说,情况就是如此。实施DevSecOps并非易事。但是,当适当而耐心地专注于关键能力时,它可以为组织带来巨大的好处。DevSecOps不仅可以提高交付率、响应用户和市场需求并获得竞争优势,而且可以比传统方法更快、更便宜、更有效地缓解和响应漏洞。原标题:7种最常见的DevSecOps失败方式,作者:ChrisHughes
