DevSecOps可能是一個相對較新的組合學科，指的是在軟件開發(fā)生命周期的早期包含安全規(guī)劃，以加強網(wǎng)絡防御，但它將成為企業(yè)的一個至關(guān)重要的領(lǐng)域。
　　2023年的主要趨勢

　　以下是我們預計2023年DevSecOps領(lǐng)域?qū)⒊霈F(xiàn)的主要行業(yè)趨勢。

　　自動化支撐創(chuàng)新

　　自動化是提高運營效率的關(guān)鍵機制，今年將在安全領(lǐng)域得到進一步發(fā)展。人工智能（AI）正在與自動化相結(jié)合，使公司能夠在整個組織中簡化和擴大決策，以抵消目前用于完成日常流程的大部分手動工作。這將使安全團隊能夠以更高的精度和靈活性將精力集中在更多的戰(zhàn)略計劃上，并將更多的操作功能留給自動化。

　　將DevSecOps構(gòu)建到公司實踐背后的戰(zhàn)略也將成熟，允許創(chuàng)新在沒有不可預見的障礙的情況下發(fā)展。“設計即安全（secure-by-design）”的概念可能是陳腐的，但其所遵循的原則卻并不陳腐——創(chuàng)建網(wǎng)絡安全標準，檢測漏洞，并在一開始就糾正問題以防止風險。這將是2023年的變革性方法。

　　工具整合

　　在將安全性納入流程之前，組織需要確定哪些工具最適合解決最緊迫的挑戰(zhàn)。工具蔓延（Toolsprawl）——即組織建立他們的工具堆棧，直到成本超過回報——是組織必須抑制和避免的一種低效率方法。

　　相反地，我們可能會看到更普遍的安全工具整合。根據(jù)Gartner的數(shù)據(jù)顯示，75%的組織已經(jīng)開啟了這一過程。將工具鏈的可觀察性和監(jiān)控納入一個平臺，使公司能夠全面了解哪些工具導致了阻塞。從碎片化工具架構(gòu)到流線型工具架構(gòu)將為構(gòu)建和加強其他流程提供更有利的環(huán)境。

　　基礎(chǔ)設施即代碼（IaC）

　　傳統(tǒng)的IT基礎(chǔ)設施管理流程是手動的，這必然會影響成本和資源——需要熟練的勞動力來執(zhí)行相關(guān)任務。有了云計算，IT領(lǐng)域的組件數(shù)量一直在增長，每天都有更多的應用程序發(fā)布。IaC在這里是一個非常寶貴的工具——使用配置文件，IaC可以管理和監(jiān)督當今不斷發(fā)展的基礎(chǔ)設施的規(guī)模。

　　軟件的歷史就是在抽象之上再逐層抽象，所以，從開發(fā)角度，他們需要一個抽象層來屏蔽復雜的基礎(chǔ)設施特性，控制下層的基礎(chǔ)設施，提供自身API或者是可編程的方式供開發(fā)者使用。隨著服務和配置選項的數(shù)量呈指數(shù)級增長，IaC允許一定程度的抽象，使工程師不必跟上這些變化。IaC最大限度地發(fā)揮了云計算的潛力，為開發(fā)人員節(jié)省了時間。

　　自動化補救

　　不斷上升的網(wǎng)絡犯罪已經(jīng)將數(shù)字安全推到了企業(yè)總體戰(zhàn)略的最前沿。企業(yè)越來越注重補救，而不僅僅是檢測，以避免承擔越來越多的風險。例如，它的工作原理是持續(xù)監(jiān)控網(wǎng)絡中的任何不規(guī)則活動，然后通過在固件上安裝安全補丁來消除威脅載體。

　　根據(jù)Gartner的說法，組織應該準備在補丁發(fā)布后立即對關(guān)鍵系統(tǒng)進行緊急修復，以解決漏洞威脅。為了執(zhí)行緊急響應，組織必須部署一種智能、自動化的補救方法，該方法完全集成到其流程中，足夠獨立，可以立即解決日常問題，并適合其體系結(jié)構(gòu)。規(guī)范性的“最佳實踐”在2023年不會奏效——補救措施必須自動化才能有效。

　　超越SBOMs

　　在白宮加強軟件供應鏈安全備忘錄的推動下，軟件材料清單（SBOM），即代碼庫的清單，已被尊為“軟件透明度的游戲規(guī)則改變者”。得益于安全和軟件專業(yè)人員間的一些改進和凝聚力，SBOM有潛力成為一個值得尊敬的行業(yè)基準，今年，SBOM可能會達到一個成熟階段，以確保其交付能夠與宣傳相匹配。

　　SBOM旨在揭開應用程序所使用的軟件組件的面紗，從而實現(xiàn)更明智的風險管理決策。當軟件生產(chǎn)商能夠向客戶交付SBOM時，就表明他們采用了先進的軟件實踐。盡管SBOM的目標令人欽佩，但在實際應用上仍然存在諸多障礙。例如，有許多設計用于自動生成SBOM的工具，但它們在提供數(shù)據(jù)的方式上并不一致。

　　此外，SBOM在采購決策方面的價值也有限。供應商將不得不經(jīng)常更新SBOM；這意味著在做出采購決定時，用戶的SBOM可能已經(jīng)過時了。附加的工具，如軟件組合分析和代碼簽名，將成為完整的、管理良好的和安全的軟件供應鏈的必要元素。最終，這將需要行業(yè)的共同努力，包括定義最佳實踐和標準，以及激勵供應商更加透明化。

　　網(wǎng)絡安全仍是組織優(yōu)先級

　　今年，在國際經(jīng)濟形勢和諸多因素的共同作用下，我們將不可避免地看到組織收緊預算和重組以維持運營。與此同時，DevSecOps的定位是向上增長。網(wǎng)絡安全風險仍然是人們最關(guān)心的問題，開發(fā)SecOps策略能夠通過預防網(wǎng)絡安全風險來節(jié)省時間和金錢。

　　盡管如此，我們將看到這些預算優(yōu)化轉(zhuǎn)向提供更多可操作結(jié)果的解決方案，這些解決方案擁有更多的補救措施，能夠釋放緊缺且昂貴的工程師資源，從設計階段就將安全性集成到軟件開發(fā)周期的流程，以及有助于簡化而不是拓展組織工具包的自動化。

　　原文鏈接：

　　https://www.darkreading.com/application-security/spotlight-on-2023-devsecops-trends?

　　本文作者：晶顏123，轉(zhuǎn)載請注明來自FreeBuf.COM