据Vanson Bourne对Claranet进行的一项报告显示,DevSecOps让企业感到困惑,让他们容易受到分子的攻击。虽然DevOps现在是一个广为人知的领域(88%的英国企业已经采用或计划在未来五年内),但只有19%的组织认为他们能够将原则转移到他们的安全实践中。
Claranet认为,企业需要培训他们的团队,以了解DevSecOps是什么以及如何将其集成到通常的DevOps场景中。
“拥抱DevOps显然是英国大多数IT领导者心目中的最前沿,这提供了一些鼓励的理由,”NotraSecure(Claranet集团公司)主管Sumit Siddarth表示。“但整体缺乏整合安全最佳实践进入这一过程表明,对于许多企业而言,安全性仍被视为与开发生命周期分开管理的东西,而不是从头到尾整合到其中。
“鉴于开发周期频繁是DevOps的固有特性,将安全视为一个独立的实体可能会降低流程速度并降低效率,这会降低敏捷性,这对任何DevOps理念都至关重要,或者导致漏洞可能存在的窗口发布,直到下一个安全测试周期才会被发现。“
Siddarth解释说,IT团队需要成为研究如何实现和自动化应用程序安全性的第一站,包括连续监控和静态分析等基础知识。让员工更清楚如何将安全流程集成到DevOps环境中是关键。
“此外,需要使用更新的安全测试方法,例如连续安全测试,以确保任何测试方法都能跟上DevOps方法所允许的变化速度,”他说。
但是,这种培训不仅可以提供给少数人。负责企业内部安全和DevOps流程的各方应接受有关企业的两个部分如何使整个组织受益的培训。
“如果这些以前完全不同的组件可以组合在一起,那么有效的DevSecOps哲学将会成为理所当然的事情,”他总结道。