DevSecOps挑战
时间:2022-03-06 18:10:01 | 来源:行业动态
时间:2022-03-06 18:10:01 来源:行业动态
当然,DevSecOps的实施也必然伴随着一系列挑战。
阻碍大部分企业转向DevSecOps的头号挑战,当数文化层面的抵触情绪,毕竟人更喜欢待在自己熟悉的舒适区内。另外,在传统软件开发模式当中,安全保障更多属于马后炮式的措施,聊胜于无而已。
此外,DevSecOps还强调将开发人员与安全专家统一起来,共同建立起协作环境。但这两大团队间总是存在一定程度的摩擦,甚至认定对方总在跟自己作对。这种观点导致二者老死不相往来,直接违背了DevSecOps的核心原则。只有改变这种两头,才能让DevSecOps文化思维在企业内发展成熟、开花结果。
另一大常见挑战,在于人们往往认定安全保障会拖慢工作速度、甚至阻碍创新尝试。为了满足现代业务需求,开发人员希望不断加快代码的交付速度。但是,安全团队的核心重点在于保障代码安全,而这两个截然不同的目标导致团队之间难以彼此理解、协同工作。
根据Cybersecurity Ventures发布的报告,到2021年全球网络安全职位空缺将多达350万个。由此可以推断,尽管安全漏洞与攻击事件一直在不断增加,但市场上仍然缺乏充足的网络安全工程师人才。为此,安全专家稀缺很可能成为中小型企业机构的巨大难题。
与开发及安全团队间的协作不同,运营与安全结合的复杂度往往更高。对于前两者,我们只需要向开发人员传授安全最佳实践,并引导他们与安全团队密切合作。虽然这一切确实会改变开发者的某些日常习惯,但总体来说变化不大。但在尝试引导运营团队与安全团队协作时,情况就完全不同了。当运营工程师发现任何异常时,他们想到的往往并不是安全漏洞。对他们来说,最大的隐患往往来自软件配置错误或者基础设施故障。但对安全团队来说,异常会让他们本能地意识到可能存在潜在漏洞。因此,运营工程师们必须重新调整自己对运营环境的分析方法。