DevSecOps可能是一个相对较新的组合学科,指的是在软件开发生命周期的早期纳入安全规划以加强网络防御,但它将成为企业至关重要的领域。2023年的主要趋势以下是我们预计2023年DevSecOps领域将出现的主要行业趋势。自动化是创新的基础自动化是提高运营效率的关键机制,今年将在安全领域得到进一步发展。人工智能(AI)正在与自动化相结合,使公司能够简化和扩大整个组织的决策制定,以抵消目前用于完成日常流程的大部分手动工作。这将使安全团队能够以更高的精度和灵活性专注于更具战略性的计划,将更多的操作功能留给自动化。将DevSecOps构建到企业实践中的战略也将成熟,允许创新在没有不可预见的障碍的情况下发展。“安全设计”的概念可能很老套,但它遵循的原则却并非如此——首先创建网络安全标准、检测漏洞并纠正问题以防止风险。这将是2023年的一种变革性方法。工具整合在将安全性纳入流程之前,组织需要确定哪些工具最适合解决他们最紧迫的挑战。工具蔓延——组织构建他们的工具堆栈直到成本超过回报——是组织必须遏制和避免的低效率。相反,我们可能会看到更普遍的安全工具整合。据Gartner称,75%的组织已经开始了这一过程。将工具链的可观察性和监控整合到一个平台中,可以让公司完全了解哪些工具导致了阻塞。从分散的工具架构转变为流线型的工具架构将为构建和增强其他流程提供更有利的环境。基础设施即代码(IaC)传统的IT基础设施管理流程是手动的,这必然会影响成本和资源——需要熟练的劳动力来执行相关任务。借助云计算,IT世界中的组件数量一直在增长,每天都有更多的应用程序发布。IaC在这里是一个非常宝贵的工具——使用配置文件,IaC可以管理和监督当今不断发展的基础设施的规模。软件的历史就是在抽象之上一层层抽象。因此,从开发的角度来看,他们需要一个抽象层来屏蔽复杂的基础设施特性,控制底层基础设施,并为开发者提供自己的API或可编程方法。使用。随着服务和配置选项的数量呈指数增长,IaC允许一定程度的抽象,使工程师不必跟上这些变化。IaC最大限度地发挥云计算的潜力并节省开发人员的时间。自动补救网络犯罪的增加已将数字安全推到了整体企业战略的最前沿。企业越来越关注补救,而不仅仅是检测,以避免承担越来越多的风险。例如,它的工作原理是持续监控网络是否存在任何异常活动,然后通过在固件上安装安全补丁来消除威胁向量。根据Gartner的说法,组织应该准备好在发布补丁以应对漏洞威胁后立即对关键系统执行紧急修复。为了执行紧急响应,组织必须部署一种智能的、自动化的补救方法,该方法完全集成到他们的流程中,足够独立以立即解决日常问题,并且适合他们的架构。规定性的“最佳实践”在2023年将行不通——补救措施必须自动化才能有效。超越SBOM软件物料清单(SBOM)或代码库库存被誉为“软件透明度的游戏规则改变者”,这是由白宫备忘录推动的,旨在加强软件供应链的安全性。由于安全和软件专业人士之间的一些改进和凝聚力,SBOM有可能成为受人尊敬的行业基准,今年,SBOM可能会达到成熟阶段,以确保其交付能够与宣传相符。SBOM旨在揭开应用程序使用的软件组件的神秘面纱,从而实现更明智的风险管理决策。当软件生产商能够向客户交付SBOM时,他们证明他们已经采用了先进的软件实践。尽管SBOM的目标令人钦佩,但在实际应用中仍然存在许多障碍。例如,有许多旨在自动生成SBOM的工具,但它们呈现数据的方式并不一致。此外,SBOM在采购决策中的价值有限。供应商必须经常更新SBOM;这意味着在做出购买决定时,用户的SBOM可能已经过时了。软件组合分析和代码签名等其他工具将成为完整、管理良好且安全的软件供应链的必要元素。最终,这将需要行业的共同努力,包括定义最佳实践和标准,并激励供应商提高透明度。网络安全仍然是组织的优先事项今年,在国际经济形势和多种因素的共同作用下,我们将不可避免地看到组织收紧预算和重组以维持生计。与此同时,DevSecOps定位于向上增长。网络安全风险仍然是头等大事,制定SecOps战略可以通过预防网络安全风险来节省时间和金钱。尽管如此,我们将看到这些预算优化转向提供更多可操作结果、具有更多补救能力并释放稀缺和昂贵的工程资源以从设计阶段将安全性集成到软件中的解决方案开发周期的流程,以及自动化有助于简化而不是扩展组织的工具包。原文链接:https://img.ydisp.cn/news/20230214/nrkh2th1m2k
