域名預(yù)訂/競價，好“米”不錯過

隨著云計算、微服務(wù)和容器技術(shù)的快速普及，IT基礎(chǔ)架構(gòu)和政企組織的業(yè)務(wù)交付模式迎來了巨大變遷，傳統(tǒng)SDLC開發(fā)模式向DevOps敏捷開發(fā)和持續(xù)交付模式遷移。

2020年12月30日，懸鏡安全聯(lián)合Freebuf咨詢在CIS大會“DevSecOps實踐與技術(shù)專場”正式對外發(fā)布《2020 DevSecOps行業(yè)洞察報告》。懸鏡安全創(chuàng)始人兼CEO子芽、Freebuf咨詢負(fù)責(zé)人尤文、懸鏡安全COO董毅出席了報告發(fā)布儀式。

報告出品人子芽表示： 今年的RSA Conference于2月24-28日在美國舊金山如期召開， 會議主題為“Human Element”，人為因素被認(rèn)為是影響未來網(wǎng)絡(luò)安全發(fā)展最深遠(yuǎn)的主題。會議期間，官方還基于參會人員的關(guān)注熱度，發(fā)布了2020年網(wǎng)絡(luò)安全行業(yè)十大趨勢，DevSecOps再次成為大家關(guān)注的焦點之一。其中，有著“全球網(wǎng)絡(luò)安全風(fēng)向標(biāo)”之稱的RSA創(chuàng)新沙盒，進(jìn)入十強(qiáng)的安全廠商中近半數(shù)聚焦在應(yīng)用安全領(lǐng)域，BluBracket和ForAllSecure等就是今年DevSecOps 領(lǐng)域的創(chuàng)新廠商代表，Comcast、US DoD 及NIWC等機(jī)構(gòu)的DevSecOps 落地應(yīng)用也逐漸成為行業(yè)實踐典范。

雖然國內(nèi)的金融、能源、互聯(lián)網(wǎng)等產(chǎn)業(yè)用戶沒有像美國一些頭部機(jī)構(gòu)那樣做DevSecOps的深度轉(zhuǎn)型，大部分還是現(xiàn)有的SDL體系，但這并不妨礙我們開始積極擁抱DevSecOps框架及CI/CD黃金管道涉及的敏捷安全活動。正是這些關(guān)鍵活動涉及的新興技術(shù)的逐漸成熟和敏捷安全新理念的普及，推動了國內(nèi)DevSecOps體系的逐漸落地，關(guān)鍵標(biāo)志之一就是持續(xù)專注DevSecOps的創(chuàng)新安全廠商開始涌現(xiàn)，我們的通用技術(shù)方案開始被越來越多的行業(yè)頭部用戶采納，并分階段持續(xù)為行業(yè)用戶建立起逐漸完善的安全開發(fā)運(yùn)營體系。懸鏡安全聯(lián)合 Freebuf 咨詢在國內(nèi)發(fā)布首個DevSecOps行業(yè)調(diào)查報告，希望從行業(yè)用戶、廠商力量及安全媒體等綜合視角觀察并分析DevSecOps在國內(nèi)的發(fā)展現(xiàn)狀。

整個報告 分上下篇， 上篇為 調(diào)查篇 ，對DevSecOps實踐情況進(jìn)行了一定調(diào)查。 通過問卷調(diào)查、資料收集、交流訪談及技術(shù)沙龍等形式開展相關(guān)調(diào)查工作，對千余名不同 IT 背景的專業(yè)人員進(jìn)行了調(diào)研，通過他們的聲音和真實反饋，表明了DevSecOps正逐漸被應(yīng)用開發(fā)團(tuán)隊認(rèn)可并加速實踐，部分領(lǐng)先機(jī)構(gòu)的應(yīng)用安全工作在軟件開發(fā)生命周期的早期就已經(jīng)實現(xiàn)高度自動化。

下篇為 洞見篇 ，描繪了不同行業(yè)的DevSecOps實踐現(xiàn)狀，梳理了當(dāng)前敏捷安全技術(shù)發(fā)展熱點技術(shù)，并對未來發(fā)展趨勢做了初步預(yù)測。 這部分內(nèi)容主要依賴于同行業(yè)專家的溝通與座談，并融合了出品方在行業(yè)中觀察到的具體現(xiàn)象、發(fā)展趨勢和應(yīng)用案例。

該報告面向全行業(yè)首次發(fā)布了DevSecOps安全工具金字塔體系，第一次系統(tǒng)性定義了面向未來DevSecOps技術(shù)演進(jìn)的工具鏈技術(shù)，并綜合考慮了新型技術(shù)的前瞻性、落地實踐難度及市場普及程度所需周期，涵蓋了從傳統(tǒng)建設(shè)層、應(yīng)用實踐層再到卓越層的不同的發(fā)展階段。

DevSecOps 安全工具金字塔

金字塔中的安全工具分層與組織的DevSecOps成熟度分級沒有直接關(guān)系，僅使用低層次的安全工具也可以完成高等級的DevSecOps實踐成熟度，反之亦然。金字塔中的工具分層與該工具的普適性、侵入性、易用性等因素相關(guān)。普適性強(qiáng)、侵入性低、易用性高的安全工具更適合作為底層基礎(chǔ)優(yōu)先引入，普適性弱、侵入性高、易用性低的工具則適合作為進(jìn)階工具幫助DevSecOps實踐變得更加完善且深入。

此外，該報告預(yù)判，IAST將在2021年繼續(xù)保持高增長 ，因IAST技術(shù)本身的業(yè)務(wù)透視、實時檢測、超低誤報率、可以定位到具體代碼行等技術(shù)特點，是當(dāng)前支撐敏捷安全的首選工具，在節(jié)奏上可以與敏捷開發(fā)良好匹配。

除了IAST，報告還預(yù)測OSS開源治理將成為新的熱點，RASP出廠免疫將迎來新發(fā)展。 當(dāng)開源無處不在，風(fēng)險也如影隨形，在組織的DevSecOps實踐中，會更加注重開源風(fēng)險的監(jiān)測與治理，構(gòu)建新一代開源威脅綜合管控平臺勢在必行。隨著網(wǎng)絡(luò)安全從邊界安全到主機(jī)安全、再到應(yīng)用安全的發(fā)展演進(jìn)，運(yùn)行時安全將成為下一代應(yīng)用安全的重心，RASP技術(shù)通過與IAST技術(shù)的融合，將會提供更易于接受和使用的部署方案，為業(yè)務(wù)應(yīng)用出廠默認(rèn)安全提供更加接地氣的創(chuàng)新解決方案。

報告出品方希望通過本報告的調(diào)查及分析，能夠推動更多行業(yè)用戶結(jié)合自身業(yè)務(wù)特點，嘗試了解、對比學(xué)習(xí)甚至著手采納業(yè)內(nèi)領(lǐng)先的DevSecOps敏捷安全體系及落地實踐經(jīng)驗，從源頭追蹤軟件供應(yīng)鏈在開發(fā)、測試、部署、運(yùn)營等關(guān)鍵環(huán)節(jié)面臨的應(yīng)用安全風(fēng)險與未知外部威脅，幫助政企組織逐步構(gòu)筑一套適應(yīng)自身業(yè)務(wù)彈性發(fā)展、面向敏捷業(yè)務(wù)交付并引領(lǐng)未來架構(gòu)演進(jìn)的內(nèi)生安全開發(fā)運(yùn)營體系。同時，也希望本報告能夠鼓勵更多不同類型的技術(shù)力量與DevSecOps行業(yè)展開新的對話，并成為建立新的安全基準(zhǔn)的參考依據(jù)。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！