DevSecOps破局,纵深一体化安全研运让价值高效流动

2024-01-27 22:20

本文主要是介绍DevSecOps破局,纵深一体化安全研运让价值高效流动,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

继IT组织纷纷转向敏捷研发与DevOps模式,如何在快速交付的同时,保障安全交付成为业内广泛关注的焦点,DevSecOps应运而生。
那么,传统敏捷研发模式究竟存在什么弊端?DevOps遗留了哪些问题?DevSecOps有何特点?行业的实践情况如何?IT团队选型时应该如何考虑?

本文将对以上问题进行解析,并以部分实例加以说明。

一、传统敏捷研发的弊端

随着云计算、微服务和容器技术的快速普及,许多企业及IT团队的交付模式迎来了巨大的变迁,由传统的瀑布式开发和一次性全量交付逐渐过渡为敏捷研发,来跟上业务及商业化需求。
然而,传统的敏捷研发模式存在诸多问题:安全责任过度依赖于有限的安全资源、安全团队在上线前介入、安全活动与研运流程严重割裂、系统安全问题暴露滞后等,非但不能有效地进行安全防护,还会影响交付速度。如何在更短的研发周期内,快速实现业务价值,同时保障质量、安全、交付速度的平衡,是传统敏捷研发模式面临的重要挑战。
此外,传统的敏捷研发模式中,需求、设计、研发、测试、运维等角色,工作流程彼此隔离,存在数据与信息孤岛,研运全场景数据收集困难,管理角色无法通过度量分析及时发现进度与质量的风险,更难以追踪溯源进而驱动产研持续改进。

二、DevOps的实践情况

研发与运营逐步走向一体化的大环境下,设计与执行仍基于敏捷研发框架之下的DevOps,以其一定程度上加速了软件部署与迭代效率的优势,获得不少企业的认可与关注。
在DevOps流程中,研发人员往往通过应用和编排开源工具,以加速开发与部署节奏。但该模式依赖于过多的脚本维护与人工跟进,可扩展性差,自由编排能力弱,软件供应链安全风险极高。
因此,如何保障业务及系统安全、如何提高流水线的执行效率成为DevOps面临的最大瓶颈。

三、DevSecOps的演进与行业痛点

1. DevSecOps的诞生与发展

针对以上困境,2012年由Gartnert提出的DevSecOps概念,强调安全左移,让安全贯穿于业务生命周期的每个环节,并成为IT组织架构内所有成员的责任。发展至今,业界关于DevSecOps的呼声日益高涨,它是对自动化能力不足、充满安全瓶颈的敏捷开发模式的关键响应,从源头上补齐了DevOps体系缺失的安全能力。
因此,近年来,越来越多的政企纷纷加入到实践行列。显然,DevSecOps的起源、演进发展及广泛使用,足以见得市场已对安全研运提出更高标准。
那么,DevSecOps业内,已落地的前沿创新及解决方案,是否能够应对云原生、微服务、容器等新兴技术带来的开源漏洞?安全检测工具是否准确、易用、高效?是否打破数据孤岛,是否实现真正的项目或团队协同?度量分析是否提供智能决策,是否真正驱动产研保质增效?

2. DevSecOps实践痛点:工具单一、能力不足、体系缺失

我们带着以上疑问,对DevSecOps业内已落地的实践进行了系统性分析。
诚然,DevSecOps的出现与实践,正在帮助我们找寻速度与安全的平衡点,它的体系已日趋成熟,方法论、技术与实践经验均有明显提升。
但目前的DevSecOps实践,普遍过多地关注在CI/CD流水线相关的安全工具集成与应用上,且大多只集成了SAST工具,做单一源代码检测,这种情况下不但工具与流程是不易集中管理与调整,安全测试无法紧跟快速迭代的步伐,严重拖垮交付节奏,而且缺乏SCA、IAST及模糊测试等能力,来为流程中其他阶段进行更多维度的安全检测。
与此同时,我们忽视了一个重要信息,该种单点防御的方式,即使编排了准确高效的安全检测工具,也只局限于发现研发阶段的漏洞,但是,漏洞往往并非只发生于开发编码阶段。
“越早发现漏洞,修复成本越低”已然是我们的共识,因此,我们在DevSecOps的实施过程中,应该建立完善的风险评估体系,在设计、架构阶段就介入安全需求,让安全任务更为彻底地实现左移,从源头上避免漏洞的产生。
在这里插入图片描述

3. 打破流程闭锁,纵深安全研运体系让价值流动

随着交付规模不断扩大、交付速度要求越来越高,如何在保障交付速度的前提下,确保研发质量与安全质量的一致性,仍是管理角色关注的重点。在此背景下,需要构建一套纵深安全研运管理体系,打破流程闭锁,实现产品、研发、运维一体化管理,提高自动化能力,减弱对人工的依赖,以可视化、智能化驱动安全研运。以智能的研发效能分析为主要任务,实现交付效率、交付质量、交付能力的可视、溯源与追踪,通过精准的分析模型,驱动管理者持续改进产研效率,助力企业向市场快速交付更多的业务价值。

四、纵深一体化安全研运管理平台:价值与流程的高效联动

纵观DevSecOps市场,当前研发效能普遍停留在简单度量指标的展示,度量模型建设及智能决策能力还有待提高。鉴于如此,我们梳理了来自不同行业中诸多客户的DevSecOps落地案例,总结了集安全技术能力、超前的DevSecOps组织与文化理念、完备的安全服务于一体的实践方法,一方面,助力投资方与创新实践者对齐行业认知,另一方面,帮助政企IT团队精准选型,避免踩坑,顺利完成安全研运一体化的DevSecOps的转型与落地。
我们通过打造研运全流程的纵深一体化安全研运管理平台,帮助客户打破信息与数据隔离,采用了基于数据挖掘与人工智能技术,收集多场景、全流程的数据,搭建了领先于行业的智慧效能度量体系,帮助企业快速找到研运低效率、低质量的根源,进而通过BI决策模型辅助团队快速交付。让企业更高效、更可靠地,向市场持续交付高质量的业务价值。
在具体实践中,纵深一体化安全研运管理平台,在需求设计阶段通过S-SDLC威胁建模,针对每个具体需求,在产研各个环节中,植入由安全专家发起的安全需求。
一方面,提高了产研团队的安全防范意识,从源头减少了漏洞产生。另一方面,我们长期坚持“授人以鱼不如授人以渔“的理念”,以赋能形式整体上提高客户团队的安全研发能力,帮助客户降低对安全团队的依赖,使市场实现 “研运普惠安全”
在研发编码阶段,我们融合多种拥有自主知识产权的国产化工具,例如静态代码扫描(SAST)、交互式应用安全检测(IAST)、软件成分分析(SCA)、模糊测试(FUZZ)、动态应用安全测试(DAST)等工具,帮助客户实现了更低的MTTD(平均检测时间),有效地将安全风险阻隔于上线前。并且,通过对迭代、任务、缺陷、里程碑等细粒度的记录与数据分析,实现了对研发流程的精细化管理。此外,采用了领先业内的平均交付时间、需求流负载、缺陷逃逸率等关键度量指标,以及基于大数据和AI技术的智能度量模型,落地了一套全流程的安全研运效能度量方法。
事实上对于客户而言,快速、准确地检测出问题仅仅是第一步,如何对安全问题做出快速响应更为重要。鉴于此,在上线及运营阶段,我们通过建立完整的安全响应机制,有效地帮助客户降低了MTTR(平均响应时间)。
此外,纵深一体化安全研运管理平台配备基于数智融合的安全态势感知数字大屏,辅助客户实现了对安全风险的预防、持续监控、分析和快速响应。并在软件运行阶段,我们采用RASP安全防护技术,提供了隐藏漏洞的更多可见性,帮助政企有效应对运行时攻击。
自DevSecOps理念诞生以来,业内一直处于探索演进过程中,我们专注于以更专业、更安全、更值得信赖的方式,为DevSecOps行业快速发展提供可靠的参考。

五、未来展望

随着数字化转型与等保升级,DevSecOps在中国市场呈现了快速增长的态势,开源网安坚信唯创新者胜,能够感知全盘的安全态势,并实现体系化纵深安全防御的研运一体化产品,将引领行业发展。

这篇关于DevSecOps破局,纵深一体化安全研运让价值高效流动的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/651648

相关文章

高效+灵活,万博智云全球发布AWS无代理跨云容灾方案!

摘要 近日,万博智云推出了基于AWS的无代理跨云容灾解决方案,并与拉丁美洲,中东,亚洲的合作伙伴面向全球开展了联合发布。这一方案以AWS应用环境为基础,将HyperBDR平台的高效、灵活和成本效益优势与无代理功能相结合,为全球企业带来实现了更便捷、经济的数据保护。 一、全球联合发布 9月2日,万博智云CEO Michael Wong在线上平台发布AWS无代理跨云容灾解决方案的阐述视频,介绍了

2024年流动式起重机司机证模拟考试题库及流动式起重机司机理论考试试题

题库来源:安全生产模拟考试一点通公众号小程序 2024年流动式起重机司机证模拟考试题库及流动式起重机司机理论考试试题是由安全生产模拟考试一点通提供,流动式起重机司机证模拟考试题库是根据流动式起重机司机最新版教材,流动式起重机司机大纲整理而成(含2024年流动式起重机司机证模拟考试题库及流动式起重机司机理论考试试题参考答案和部分工种参考解析),掌握本资料和学校方法,考试容易。流动式起重机司机考试技

嵌入式QT开发:构建高效智能的嵌入式系统

摘要: 本文深入探讨了嵌入式 QT 相关的各个方面。从 QT 框架的基础架构和核心概念出发,详细阐述了其在嵌入式环境中的优势与特点。文中分析了嵌入式 QT 的开发环境搭建过程,包括交叉编译工具链的配置等关键步骤。进一步探讨了嵌入式 QT 的界面设计与开发,涵盖了从基本控件的使用到复杂界面布局的构建。同时也深入研究了信号与槽机制在嵌入式系统中的应用,以及嵌入式 QT 与硬件设备的交互,包括输入输出设

高效录音转文字:2024年四大工具精选!

在快节奏的工作生活中,能够快速将录音转换成文字是一项非常实用的能力。特别是在需要记录会议纪要、讲座内容或者是采访素材的时候,一款优秀的在线录音转文字工具能派上大用场。以下推荐几个好用的录音转文字工具! 365在线转文字 直达链接:https://www.pdf365.cn/ 365在线转文字是一款提供在线录音转文字服务的工具,它以其高效、便捷的特点受到用户的青睐。用户无需下载安装任何软件,只

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还

【C++高阶】C++类型转换全攻略:深入理解并高效应用

📝个人主页🌹:Eternity._ ⏩收录专栏⏪:C++ “ 登神长阶 ” 🤡往期回顾🤡:C++ 智能指针 🌹🌹期待您的关注 🌹🌹 ❀C++的类型转换 📒1. C语言中的类型转换📚2. C++强制类型转换⛰️static_cast🌞reinterpret_cast⭐const_cast🍁dynamic_cast 📜3. C++强制类型转换的原因📝

基于 YOLOv5 的积水检测系统:打造高效智能的智慧城市应用

在城市发展中,积水问题日益严重,特别是在大雨过后,积水往往会影响交通甚至威胁人们的安全。通过现代计算机视觉技术,我们能够智能化地检测和识别积水区域,减少潜在危险。本文将介绍如何使用 YOLOv5 和 PyQt5 搭建一个积水检测系统,结合深度学习和直观的图形界面,为用户提供高效的解决方案。 源码地址: PyQt5+YoloV5 实现积水检测系统 预览: 项目背景

MiniGPT-3D, 首个高效的3D点云大语言模型,仅需一张RTX3090显卡,训练一天时间,已开源

项目主页:https://tangyuan96.github.io/minigpt_3d_project_page/ 代码:https://github.com/TangYuan96/MiniGPT-3D 论文:https://arxiv.org/pdf/2405.01413 MiniGPT-3D在多个任务上取得了SoTA,被ACM MM2024接收,只拥有47.8M的可训练参数,在一张RTX