获得devsecops正确的东西需要什么
NHS Trust使用案例管理软件来提供时间储蓄
Swisscom Taps Hitachi改善基于网络的客户服务
尼日利亚电子邮件攻击发展成为可信,危险的威胁
Google链接与八个美国银行为当前账户
化妆品公司AVON网络攻击后离线
Orange,诺基亚声称首次成功试验下一代光学技术
最终用户未能在线保护自己
欧洲纤维推出加速
Ofcom揭示了英国5G移动空中展览拍卖规则
用AI保持珊瑚礁健康
在瞻博网络中的激进IT转型
Deutsche Bank致力于多年的谷歌云交易,以加速移居
纳斯达克通过云平台为客户提供实时数据
贷款费用:HMRC告诉承包商不会“持有希望”修订后的定居点新兴
亚马逊禁止警方使用其面部识别技术一年
操作员赞助的RCS设置为赢得美国消费者心灵和品牌预算
国防部发布防御数据管理策略
华为在云戏剧中提升昆鹏生态系统
贷款费用:政府破折号希望修改承包商的定居点
FCA估计大约260万英寸已购买加密货币
icnirp发现没有5g技术没有健康风险
报告警告,向赎金支付并加倍恢复费用
北欧Cio采访:janne puustinen,valmet
KAO数据法院对哈洛的Mega-DataceRe的高度租户
Microsoft Targets 5G竞技场具有肯定的网络获取
英国Comms行业计算华为科技禁令的成本
隐私后盾,BREXIT数据的机会有什么机会?
平等看门狗呼吁警方停止使用面部识别
柏林打破了国家模具成为全球枢纽
与气候变化有关的数据
VMware漏洞使私有云开放到接管
英国BioBank将AWS托管数据分析平台与DNANEXUS进行速度研究
腾讯云团队与银行服务的亚当队
北欧金融电气敦促金融扫盲在为时已晚之前认真对待
Gartner:遥控换班CIO优先事项
ELISA在2023年将插头拉3G网络
瑞典矿业公司LKAB改装数据备份设置以支持停机时间避免目标
检查点无法解决Windows DNS中的关键SIGRED错误
微软希望开发人员是量子启发
英国量子技术项目获得70米7000万英镑
为什么Govtech正在建立自己的机器人堆栈
汇丰平台使用AI更快地分析交易数据
MSP xchanging攻击兰福厂事件
Twitter黑客辐射:网络犯罪分子踪迹的调查人员
澳大利亚公司如何防御供应链攻击
Qumulo Shift在云中向AWS S3开辟了扩展的NAS
英国政府需要一个加入的互联网政策
Venafi购买云保护服务Jetstack
糟糕的连接看到家庭工人每天减掉半小时的工作
您的位置:首页 >电子新闻 >

获得devsecops正确的东西需要什么

2021-09-14 10:44:12 [来源]:

在SP Digital,新加坡最大的公用事业公司供应商SP集团的数码臂,拥抱Devops实践使其能够推出新软件的释放比以前要快得多。

乘坐SP Utilities移动应用程序,让家庭管理其公用事业消费。该公司现在每两周一次更新该应用程序,与大约四年前陷入困境的每隔几个月的几个月相比。

SP数字工程副总裁Colin Leong表示,当时他的团队当时从IT供应商接管该应用程序时,软件版本是零星的,其中包含预期所需的定义。

“我们现在可以快速推出新功能,以及解决可能裁剪的任何类型的错误或缺陷,”梁先生说。“我们有一个更强大的管道,我认为推动出来的能力比过去更好。”

正如SP Digital通过Devops改进了代码质量,它现在正在通过DevSecops施加安全性,其中安全考虑因素被烘焙到软件开发的早期阶段。

根据IDC,一家技术研究公司,Devsecops将在2024年亚太地区推动至少50%的新应用,以较短的软件开发生命周期推动。

“在流程的中间或结尾处放置安全的旧安全流程现在才昂贵并且现在效率低下。左转安全 - 一直到规划阶段 - 可以大大提高效率和减少成本“吉娜·史密斯,IDC亚洲

“在流程中间或结尾处放置安全性的旧安全流程现在太昂贵并且现在效率低下了,”IDC亚洲的研究经理Gina Smith表示。

“将安全性剩下 - 一直到规划阶段 - 可以大大提高效率并降低成本。底线是,它会跳动质量代码的输出,这就是它的全部,“她添加了。

史密斯称,更多的企业依赖开源和云技术,以及应用集装箱化,他们将面临着一个成熟的Devsecops政策将有助于解决的“复杂的挑战”。

“建立安全规划,测试和监测到Devops管道的每个阶段是关于弥合年龄古老的打击和敌意 - 在开发人员,IT和安全性中,”她补充道。

SP Digital的Leong表示,虽然他的团队目前正在探索能够启用DevSecops实践的工具,但更大的挑战是,该公司的安全功能围绕企业安全性集中在大量集中。

因此,它最近聘请了一个应用安全专家,他们一直在帮助塑造SP数字的Devops实践,并在其开发管道中建立安全的工具,以建立安全性。

Nigel Kersten是谷歌的名片可靠性工程集团的一部分的木偶的实地首席技术官,强调了在DevSecops实践中以规模部署自动化的重要性。

“我们看到企业面临的一些常见错误 - 最大的是,最大的是在没有缩放自动化的情况下实现Devsecops,这些数据被所有相关利益相关者都能得到了很好的理解和信任。

“建立安全规划,测试和监控Devops管道的每个阶段是关于跨越古老的宣言和敌意 - 在开发人员,IT和安全性”Gina Smith,IDC

“没有那个,组织将最终以相同的手动流程和相同的冲突激励措施。然后,除了Devsecops而不是Devsecops,只剩下DEV,SEC和OPS,“Kersten说。

但是,组织将不得不选择开发人员想要使用的工具。“企业无法强迫开发人员的安全性或基础设施工具 - 它需要具有适合的界面,可用,可以通过应用程序编程接口进行编程方式,”Kersten补充道。

还有更改管理层需要考虑。Kersten表示,组织将不得不做出多个团队与不同的激励措施一起工作的艰难工作,并发生变革管理。这种变化很难,没有简单的答案。

“我们反复看到的是,通过可扩展的自动化解决方案在开发和运营之间成功的公司都是同样的成功与安全性相同的人,”克斯滕说。

亚太地区Github副总裁Sam Hunt表示,另一个挑战是Devsecops is 3a创立的误报。

“拥抱DevSecops流程将不可避免地增加被发现的漏洞率。因此,误报是必然会发生的,这侵蚀了开发人员对安全检查价值的信心。Teams如何处理这些将使或打破Devsecops文化。

“团队需要在重要性和影响方面优先考虑错误,以确定他们应该如何解决它们。通过在安全第一工作流程中运行,团队可以识别具有最关键影响的错误并采取措施随着时间的推移管理,“亨特说。

Puppet的Kersten指出,随着Devsecops从根本上识别安全性不能再是偶然功能,它可以成为网络安全策略的基础结构。

“理想情况下,公司拥有通过自助界面使用高度自动化的运营团队,其中开发人员使用敏捷方法。为此,最有效的方法是在整个软件交付生命周期中启用和放大协作,从设计到部署和超越,“他说。

这要求每个人都是安全意识的那个生命周期的一部分,开发人员在亚太地区的应用程序平台中的vishal ghariwala表示,包括一些开发人员可能需要培训,如此安全性并不一直是传统应用程序开发的重点。

Ghariwala建议放置一个框架,帮助企业确定其安全要求,风险耐受性并进行风险效益分析。“例如,应用程序需要哪些安全控制?对不同应用程序的速度有多重要?“

GitHub的Hunt表示,虽然其他传统的安全责任,如基础设施安全和身份管理,并不受Devsecops的影响,因为企业转移到“基础设施作为代码”,“策略为代码”,或其他“代码”模型,DevSecops进程将有助于在其他安全领域自动化评论。

与此同时,Devops仍然是SP Digital正在进行的工作。梁的团队一直在组织IT团队之间的学习交流,包括基础设施,运营,应用程序开发和安全,分享最佳实践。

“我们的成功取得了一些成功,我们还帮助团队拥有一些改进IT项目的有效性的自动化等级,”莱昂说。“我们渴望达到更多自助服务的水平,并且他们的担忧可以以更加自动化的方式照顾。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。