获得devsecops正确的东西需要什么
在SP Digital,新加坡最大的公用事业公司供应商SP集团的数码臂,拥抱Devops实践使其能够推出新软件的释放比以前要快得多。
乘坐SP Utilities移动应用程序,让家庭管理其公用事业消费。该公司现在每两周一次更新该应用程序,与大约四年前陷入困境的每隔几个月的几个月相比。
SP数字工程副总裁Colin Leong表示,当时他的团队当时从IT供应商接管该应用程序时,软件版本是零星的,其中包含预期所需的定义。
“我们现在可以快速推出新功能,以及解决可能裁剪的任何类型的错误或缺陷,”梁先生说。“我们有一个更强大的管道,我认为推动出来的能力比过去更好。”
正如SP Digital通过Devops改进了代码质量,它现在正在通过DevSecops施加安全性,其中安全考虑因素被烘焙到软件开发的早期阶段。
根据IDC,一家技术研究公司,Devsecops将在2024年亚太地区推动至少50%的新应用,以较短的软件开发生命周期推动。
“在流程的中间或结尾处放置安全的旧安全流程现在才昂贵并且现在效率低下。左转安全 - 一直到规划阶段 - 可以大大提高效率和减少成本“吉娜·史密斯,IDC亚洲“在流程中间或结尾处放置安全性的旧安全流程现在太昂贵并且现在效率低下了,”IDC亚洲的研究经理Gina Smith表示。
“将安全性剩下 - 一直到规划阶段 - 可以大大提高效率并降低成本。底线是,它会跳动质量代码的输出,这就是它的全部,“她添加了。
史密斯称,更多的企业依赖开源和云技术,以及应用集装箱化,他们将面临着一个成熟的Devsecops政策将有助于解决的“复杂的挑战”。
“建立安全规划,测试和监测到Devops管道的每个阶段是关于弥合年龄古老的打击和敌意 - 在开发人员,IT和安全性中,”她补充道。
SP Digital的Leong表示,虽然他的团队目前正在探索能够启用DevSecops实践的工具,但更大的挑战是,该公司的安全功能围绕企业安全性集中在大量集中。
因此,它最近聘请了一个应用安全专家,他们一直在帮助塑造SP数字的Devops实践,并在其开发管道中建立安全的工具,以建立安全性。
Nigel Kersten是谷歌的名片可靠性工程集团的一部分的木偶的实地首席技术官,强调了在DevSecops实践中以规模部署自动化的重要性。
“我们看到企业面临的一些常见错误 - 最大的是,最大的是在没有缩放自动化的情况下实现Devsecops,这些数据被所有相关利益相关者都能得到了很好的理解和信任。
“建立安全规划,测试和监控Devops管道的每个阶段是关于跨越古老的宣言和敌意 - 在开发人员,IT和安全性”Gina Smith,IDC“没有那个,组织将最终以相同的手动流程和相同的冲突激励措施。然后,除了Devsecops而不是Devsecops,只剩下DEV,SEC和OPS,“Kersten说。
但是,组织将不得不选择开发人员想要使用的工具。“企业无法强迫开发人员的安全性或基础设施工具 - 它需要具有适合的界面,可用,可以通过应用程序编程接口进行编程方式,”Kersten补充道。
还有更改管理层需要考虑。Kersten表示,组织将不得不做出多个团队与不同的激励措施一起工作的艰难工作,并发生变革管理。这种变化很难,没有简单的答案。
“我们反复看到的是,通过可扩展的自动化解决方案在开发和运营之间成功的公司都是同样的成功与安全性相同的人,”克斯滕说。
亚太地区Github副总裁Sam Hunt表示,另一个挑战是Devsecops is 3a创立的误报。
“拥抱DevSecops流程将不可避免地增加被发现的漏洞率。因此,误报是必然会发生的,这侵蚀了开发人员对安全检查价值的信心。Teams如何处理这些将使或打破Devsecops文化。
“团队需要在重要性和影响方面优先考虑错误,以确定他们应该如何解决它们。通过在安全第一工作流程中运行,团队可以识别具有最关键影响的错误并采取措施随着时间的推移管理,“亨特说。
Puppet的Kersten指出,随着Devsecops从根本上识别安全性不能再是偶然功能,它可以成为网络安全策略的基础结构。
“理想情况下,公司拥有通过自助界面使用高度自动化的运营团队,其中开发人员使用敏捷方法。为此,最有效的方法是在整个软件交付生命周期中启用和放大协作,从设计到部署和超越,“他说。
这要求每个人都是安全意识的那个生命周期的一部分,开发人员在亚太地区的应用程序平台中的vishal ghariwala表示,包括一些开发人员可能需要培训,如此安全性并不一直是传统应用程序开发的重点。
Ghariwala建议放置一个框架,帮助企业确定其安全要求,风险耐受性并进行风险效益分析。“例如,应用程序需要哪些安全控制?对不同应用程序的速度有多重要?“
GitHub的Hunt表示,虽然其他传统的安全责任,如基础设施安全和身份管理,并不受Devsecops的影响,因为企业转移到“基础设施作为代码”,“策略为代码”,或其他“代码”模型,DevSecops进程将有助于在其他安全领域自动化评论。
与此同时,Devops仍然是SP Digital正在进行的工作。梁的团队一直在组织IT团队之间的学习交流,包括基础设施,运营,应用程序开发和安全,分享最佳实践。
“我们的成功取得了一些成功,我们还帮助团队拥有一些改进IT项目的有效性的自动化等级,”莱昂说。“我们渴望达到更多自助服务的水平,并且他们的担忧可以以更加自动化的方式照顾。”