-
-
[分享]进一步向左转移安全性:DevSecOps是否将变成SecDevOps?
-
发表于: 2021-12-21 14:14 5212
-
Veracode公布的使用数据显示,网络安全正变得更加自动化和组件化,与现代软件架构和开发实践相一致。
对2020年9月至2021年10月的这13个月期间5,446,170次静态扫描和超过310,000个应用程序的分析发现,API和微服务等小型应用程序的数量惊人地增长了143%,通过API而不是手动运行的自动扫描增长了133%。
在过去的18个月里,COVID-19加速了数字化转型,企业正在积极加速数字化转型,抢先推出数字产品和服务。
开发人员要比以往更快地构建和部署软件的压力促使了向DevSecOps的转变——将开发、安全性和运维集成在一起,使应用安全性成为软件生命周期中不可分割的一部分。终于,公司开始应用AppSec控件来确保开发过程的完整性,并在整个企业范围内扩展DevSecOps管道模式。
Veracode首席技术官Chris Wysopal表示:“随着企业将人工智能和机器学习用于缺陷识别、威胁建模和修复,软件开发中自动化和组件化的兴起推动了软件安全的速度和自动化的急剧增加。”可以看到,DevSecOps迅速成熟。
组件化提高速度和效率
除了自动化的上升轨迹外,Veracode还发现所分析代码的复杂性和大小呈下降趋势,每次扫描扫描的平均模块数量减少30%就证明了这一点,这表明转向扫描单个组件或微服务。考虑到组件化应用程序和DevOps实践的迅速采用,这并不奇怪。
通过将大型应用程序分解成可重用的小组件(或微服务),开发人员可以以更敏捷的方式进行快速迭代,并以增量方式持续交付。有趣的是,api优先开发的兴起实际上提高了软件安全性,当对api或微服务使用静态分析时,修复缺陷的平均时间减少了大约50%。API扫描还使组织能够尽早、有效地发现和修复API中的漏洞。
软件网络安全应该是普遍的
随着现代软件开发实践的成本和复杂性不断上升,企业将越来越需要一个全面的、完全集成的安全平台。该平台支持普遍或持续的安全性,因为它:
从威胁建模的设计阶段开始,确保仅将安全组件纳入设计。这将安全性进一步转移,甚至因此DevSecOps变成了SecDevOps,确保软件“设计安全”。
完全集成,但也对新技术插件开放,以提供全面的覆盖分析代码的每一个可能的维度。这种“单一管理平台”方法使安全专业人员和开发人员能够了解风险、确定修复工作的优先级,并跨多个维度定义和监控进度目标。
提供顺畅的开发人员体验,使安全分析能够满足开发人员的工作需求——在IDE(集成开发环境)、CI/CD(持续集成持续开发)管道、代码和容器存储库以及缺陷跟踪系统中。
Wysopal补充道:“最近备受瞩目的攻击,例如Solar Winds黑客攻击,已经让软件供应链的漏洞成为人们关注的焦点。” “企业现在寻求软件安全的下一次进化,以求安心。
这意味着提供持续编排的保证,例如策略定义和管理,具有‘自修复’能力的内联修复,以及突出显示随着底层组件更改时引入的任何缺陷。”
考虑到软件漏洞的发展速度,最近证明的Log4j 2.x中的0day漏洞仍在被利用,持续安全和进一步向左移动的重要性不容小觑。而在开发中进行静态代码检测以提前发现缺陷及漏洞,已成为确保软件安全不可或缺的一部分。
参读链接:
https://www.helpnetsecurity.com/2021/12/20/cybersecurity-software-development/
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!