多因素催生DevSecOps
时间:2022-04-12 03:00:01 | 来源:行业动态
时间:2022-04-12 03:00:01 来源:行业动态
DevSecOps的出现是与整个安全环境的变化息息相关的。ThoughtWorks首席安全咨询师蒋帆告诉记者,企业过去更多是关注网络安全或者信息安全,但是随着企业数字化产品系统的增多,虽然传统的安全设备和产品可以保护企业的IT基础设施,但是对数字化平台系统自身的安全风险却无能为力。
企业数字化全面提速,业务系统成为重要载体,这就涉及安全合规问题。国家层面也在通过相关立法确保安全风险的可控,作为企业自身更是需要尽到责任主体的义务。
蒋帆表示,从业务人员角度看,企业是不允许在没有完善的安全保护措施下将业务进行数字化。先把数字化系统建设起来,再补充安全能力,这在传统行业客户的业务场景中是行不通的。
安全不像质量问题,质量问题更多是功能层面,而如果在安全设计上面存在瑕疵,一旦被攻击者利用,就会成为安全漏洞,进而影响企业的业务运行。这就需要企业构建一个响应力,不断追踪产品上线之后的安全风险问题。
而且现在的安全攻击和传统的威胁是截然不同的,进攻思路更加丰富,体系更加复杂,活动难以察觉,潜伏和破坏并存的结构,从战术体系到具体的软件工具一系列综合的进攻方式,呈现出了专业化、组织化的特点。
蒋帆说,虽然企业能够为寻找相应的安全工具应对安全挑战,但是如何有效利用起来才是关键。企业的软件开发团队如果无法快速响应漏洞风险,再多的工具都是没有意义的。
于是我们看到DevSecOps的工作实践与方法论得到快速发展和广泛接纳,不过在具体的落地过程中,虽然DevSecOps的提出就是将安全实践融入到软件的各个生命周期,但目前的DevSecOps的工作仍然存在着太多的割裂,很多情况下是安全的触角伸到了软件各个生命周期上,但是并非融入,并形成完善流畅的体系流程。
这表现在DevSecOps只是局限于工具的单纯应用,而不是以一种更加系统的方式来推行相关工作。如何有机将这些工具和具体实践以及数字化软件本身结合将成为接下来DevSecOps落地的问题。毕竟软件本身就需要有内建的安全能力,而不是单纯靠软件的交付流程或是某个独立的安全岗位部门来实现。
在线咨询
