隨著云計算、微服務和容器技術的快速普及,IT基礎架構和政企組織的業務交付模式迎來了巨大變遷,傳統SDLC開發模式向DevOps敏捷開發和持續交付模式遷移。
2020年12月30日,懸鏡安全聯合Freebuf咨詢在CIS大會“DevSecOps實踐與技術專場”正式對外發布《2020 DevSecOps行業洞察報告》。懸鏡安全創始人兼CEO子芽、Freebuf咨詢負責人尤文、懸鏡安全COO董毅出席了報告發布儀式。
報告出品人子芽表示: 今年的RSA Conference于2月24-28日在美國舊金山如期召開, 會議主題為“Human Element”,人為因素被認為是影響未來網絡安全發展最深遠的主題。會議期間,官方還基于參會人員的關注熱度,發布了2020年網絡安全行業十大趨勢,DevSecOps再次成為大家關注的焦點之一。其中,有著“全球網絡安全風向標”之稱的RSA創新沙盒,進入十強的安全廠商中近半數聚焦在應用安全領域,BluBracket和ForAllSecure等就是今年DevSecOps 領域的創新廠商代表,Comcast、US DoD 及NIWC等機構的DevSecOps 落地應用也逐漸成為行業實踐典范。
雖然國內的金融、能源、互聯網等產業用戶沒有像美國一些頭部機構那樣做DevSecOps的深度轉型,大部分還是現有的SDL體系,但這并不妨礙我們開始積極擁抱DevSecOps框架及CI/CD黃金管道涉及的敏捷安全活動。正是這些關鍵活動涉及的新興技術的逐漸成熟和敏捷安全新理念的普及,推動了國內DevSecOps體系的逐漸落地,關鍵標志之一就是持續專注DevSecOps的創新安全廠商開始涌現,我們的通用技術方案開始被越來越多的行業頭部用戶采納,并分階段持續為行業用戶建立起逐漸完善的安全開發運營體系。懸鏡安全聯合 Freebuf 咨詢在國內發布首個DevSecOps行業調查報告,希望從行業用戶、廠商力量及安全媒體等綜合視角觀察并分析DevSecOps在國內的發展現狀。
整個報告 分上下篇, 上篇為 調查篇 ,對DevSecOps實踐情況進行了一定調查。 通過問卷調查、資料收集、交流訪談及技術沙龍等形式開展相關調查工作,對千余名不同 IT 背景的專業人員進行了調研,通過他們的聲音和真實反饋,表明了DevSecOps正逐漸被應用開發團隊認可并加速實踐,部分領先機構的應用安全工作在軟件開發生命周期的早期就已經實現高度自動化。
下篇為 洞見篇 ,描繪了不同行業的DevSecOps實踐現狀,梳理了當前敏捷安全技術發展熱點技術,并對未來發展趨勢做了初步預測。 這部分內容主要依賴于同行業專家的溝通與座談,并融合了出品方在行業中觀察到的具體現象、發展趨勢和應用案例。
該報告面向全行業首次發布了DevSecOps安全工具金字塔體系,第一次系統性定義了面向未來DevSecOps技術演進的工具鏈技術,并綜合考慮了新型技術的前瞻性、落地實踐難度及市場普及程度所需周期,涵蓋了從傳統建設層、應用實踐層再到卓越層的不同的發展階段。
DevSecOps 安全工具金字塔
金字塔中的安全工具分層與組織的DevSecOps成熟度分級沒有直接關系,僅使用低層次的安全工具也可以完成高等級的DevSecOps實踐成熟度,反之亦然。金字塔中的工具分層與該工具的普適性、侵入性、易用性等因素相關。普適性強、侵入性低、易用性高的安全工具更適合作為底層基礎優先引入,普適性弱、侵入性高、易用性低的工具則適合作為進階工具幫助DevSecOps實踐變得更加完善且深入。
此外,該報告預判,IAST將在2021年繼續保持高增長 ,因IAST技術本身的業務透視、實時檢測、超低誤報率、可以定位到具體代碼行等技術特點,是當前支撐敏捷安全的首選工具,在節奏上可以與敏捷開發良好匹配。
除了IAST,報告還預測OSS開源治理將成為新的熱點,RASP出廠免疫將迎來新發展。 當開源無處不在,風險也如影隨形,在組織的DevSecOps實踐中,會更加注重開源風險的監測與治理,構建新一代開源威脅綜合管控平臺勢在必行。隨著網絡安全從邊界安全到主機安全、再到應用安全的發展演進,運行時安全將成為下一代應用安全的重心,RASP技術通過與IAST技術的融合,將會提供更易于接受和使用的部署方案,為業務應用出廠默認安全提供更加接地氣的創新解決方案。
報告出品方希望通過本報告的調查及分析,能夠推動更多行業用戶結合自身業務特點,嘗試了解、對比學習甚至著手采納業內領先的DevSecOps敏捷安全體系及落地實踐經驗,從源頭追蹤軟件供應鏈在開發、測試、部署、運營等關鍵環節面臨的應用安全風險與未知外部威脅,幫助政企組織逐步構筑一套適應自身業務彈性發展、面向敏捷業務交付并引領未來架構演進的內生安全開發運營體系。同時,也希望本報告能夠鼓勵更多不同類型的技術力量與DevSecOps行業展開新的對話,并成為建立新的安全基準的參考依據。
