让DevSecOps真正落地
时间:2022-04-25 16:39:01 | 来源:行业动态
时间:2022-04-25 16:39:01 来源:行业动态
DevSecOps是在DevOps落地的前提下部署的,它和DevOps一样非常重视协作,需要改变人们的关键、调整流程、借力自动化工具。其中对企业转向DevSecOps最大的阻力还是来自企业文化,一般而言,开发团队不愿意改变自己的开发流程,更愿意继续沿用传统的开发方法。另一方面,DevSecOps特别强调将开发人员与安全人员统一起来,共同建立起协作环境。但这两大团队间总是存在一定程度的摩擦,甚至认定对方总在跟自己作对,这直接违背了DevSecOps的核心原则。只有改变这种状况才能让DevSecOps文化在组织内落地、开花结果。
很多企业在引入DevSecOps的另一大常见挑战在于,常有人认定安全保障会拖慢软件开发工作速度、甚至阻碍创新。为了满足业务需求,为了商业竞争,开发人员希望不断加快代码的交付速度。但是,安全团队的核心重点在于保障代码安全,而这两个截然不同的目标导致团队之间难以彼此理解、协同工作。
另外,安全人员的不足也可能影响DevSecOps的落地。如前所述,在开发流程中,安全人员原本就是相对缺乏的,而且就整个行业而言,相对于严峻的安全形势(不断爆出的安全漏洞与攻击事件),安全人员也是不足的。根据Cybersecurity Ventures发布的报告,2021年全球网络安全职位空缺将多达350万个,因此,安全专家的不足很可能是很多中小型开发团队面对的一个难题。
DevSecOps落地的另一个问题是自动化工具还需要优化和丰富。和DevOps一样,DevSecOps也非常依赖自动化的工具,需要借助工具来构建脚本、将源代码进行编译、进行软件漏洞扫描。一个好用的自动化工具不仅要提供多种强大的功能、丰富的插件库,还具备多种易于上手的用户界面,其中一部分甚至能够自动检测易受攻击的库并及时加以替换。目前,在自动化工具方面主要以开源为主,这些工具的易用性、安全性还有不小的改进空间。
不过,尽管DevSecOps在落地过程中还存在这样那样的障碍,但是在改善软件质量、提高软件安全性以及缩短交付期等压力之下,作为应对这些需求最为有效的办法之一的DevSecOps被认可、被部署应该是众望所归。显然,这种需求越强烈,DevSecOps越是有望迎来自己的高速发展时期,这一时期相信不会太远。