阿里云優(yōu)惠券 先領(lǐng)券再下單

隨著云計(jì)算、微服務(wù)和容器技術(shù)的快速普及，IT基礎(chǔ)架構(gòu)和政企組織的業(yè)務(wù)交付模式迎來(lái)了巨大變遷，傳統(tǒng)SDLC開(kāi)發(fā)模式向DevOps敏捷開(kāi)發(fā)和持續(xù)交付模式遷移。

2020年12月30日，懸鏡安全聯(lián)合Freebuf咨詢?cè)贑IS大會(huì)“DevSecOps實(shí)踐與技術(shù)專場(chǎng)”正式對(duì)外發(fā)布《2020 DevSecOps行業(yè)洞察報(bào)告》。懸鏡安全創(chuàng)始人兼CEO子芽、Freebuf咨詢負(fù)責(zé)人尤文、懸鏡安全COO董毅出席了報(bào)告發(fā)布儀式。

報(bào)告出品人子芽表示： 今年的RSA Conference于2月24-28日在美國(guó)舊金山如期召開(kāi)， 會(huì)議主題為“Human Element”，人為因素被認(rèn)為是影響未來(lái)網(wǎng)絡(luò)安全發(fā)展最深遠(yuǎn)的主題。會(huì)議期間，官方還基于參會(huì)人員的關(guān)注熱度，發(fā)布了2020年網(wǎng)絡(luò)安全行業(yè)十大趨勢(shì)，DevSecOps再次成為大家關(guān)注的焦點(diǎn)之一。其中，有著“全球網(wǎng)絡(luò)安全風(fēng)向標(biāo)”之稱的RSA創(chuàng)新沙盒，進(jìn)入十強(qiáng)的安全廠商中近半數(shù)聚焦在應(yīng)用安全領(lǐng)域，BluBracket和ForAllSecure等就是今年DevSecOps 領(lǐng)域的創(chuàng)新廠商代表，Comcast、US DoD 及NIWC等機(jī)構(gòu)的DevSecOps 落地應(yīng)用也逐漸成為行業(yè)實(shí)踐典范。

雖然國(guó)內(nèi)的金融、能源、互聯(lián)網(wǎng)等產(chǎn)業(yè)用戶沒(méi)有像美國(guó)一些頭部機(jī)構(gòu)那樣做DevSecOps的深度轉(zhuǎn)型，大部分還是現(xiàn)有的SDL體系，但這并不妨礙我們開(kāi)始積極擁抱DevSecOps框架及CI/CD黃金管道涉及的敏捷安全活動(dòng)。正是這些關(guān)鍵活動(dòng)涉及的新興技術(shù)的逐漸成熟和敏捷安全新理念的普及，推動(dòng)了國(guó)內(nèi)DevSecOps體系的逐漸落地，關(guān)鍵標(biāo)志之一就是持續(xù)專注DevSecOps的創(chuàng)新安全廠商開(kāi)始涌現(xiàn)，我們的通用技術(shù)方案開(kāi)始被越來(lái)越多的行業(yè)頭部用戶采納，并分階段持續(xù)為行業(yè)用戶建立起逐漸完善的安全開(kāi)發(fā)運(yùn)營(yíng)體系。懸鏡安全聯(lián)合 Freebuf 咨詢?cè)趪?guó)內(nèi)發(fā)布首個(gè)DevSecOps行業(yè)調(diào)查報(bào)告，希望從行業(yè)用戶、廠商力量及安全媒體等綜合視角觀察并分析DevSecOps在國(guó)內(nèi)的發(fā)展現(xiàn)狀。

整個(gè)報(bào)告 分上下篇， 上篇為 調(diào)查篇 ，對(duì)DevSecOps實(shí)踐情況進(jìn)行了一定調(diào)查。 通過(guò)問(wèn)卷調(diào)查、資料收集、交流訪談及技術(shù)沙龍等形式開(kāi)展相關(guān)調(diào)查工作，對(duì)千余名不同 IT 背景的專業(yè)人員進(jìn)行了調(diào)研，通過(guò)他們的聲音和真實(shí)反饋，表明了DevSecOps正逐漸被應(yīng)用開(kāi)發(fā)團(tuán)隊(duì)認(rèn)可并加速實(shí)踐，部分領(lǐng)先機(jī)構(gòu)的應(yīng)用安全工作在軟件開(kāi)發(fā)生命周期的早期就已經(jīng)實(shí)現(xiàn)高度自動(dòng)化。

下篇為 洞見(jiàn)篇 ，描繪了不同行業(yè)的DevSecOps實(shí)踐現(xiàn)狀，梳理了當(dāng)前敏捷安全技術(shù)發(fā)展熱點(diǎn)技術(shù)，并對(duì)未來(lái)發(fā)展趨勢(shì)做了初步預(yù)測(cè)。 這部分內(nèi)容主要依賴于同行業(yè)專家的溝通與座談，并融合了出品方在行業(yè)中觀察到的具體現(xiàn)象、發(fā)展趨勢(shì)和應(yīng)用案例。

該報(bào)告面向全行業(yè)首次發(fā)布了DevSecOps安全工具金字塔體系，第一次系統(tǒng)性定義了面向未來(lái)DevSecOps技術(shù)演進(jìn)的工具鏈技術(shù)，并綜合考慮了新型技術(shù)的前瞻性、落地實(shí)踐難度及市場(chǎng)普及程度所需周期，涵蓋了從傳統(tǒng)建設(shè)層、應(yīng)用實(shí)踐層再到卓越層的不同的發(fā)展階段。

DevSecOps 安全工具金字塔

金字塔中的安全工具分層與組織的DevSecOps成熟度分級(jí)沒(méi)有直接關(guān)系，僅使用低層次的安全工具也可以完成高等級(jí)的DevSecOps實(shí)踐成熟度，反之亦然。金字塔中的工具分層與該工具的普適性、侵入性、易用性等因素相關(guān)。普適性強(qiáng)、侵入性低、易用性高的安全工具更適合作為底層基礎(chǔ)優(yōu)先引入，普適性弱、侵入性高、易用性低的工具則適合作為進(jìn)階工具幫助DevSecOps實(shí)踐變得更加完善且深入。

此外，該報(bào)告預(yù)判，IAST將在2021年繼續(xù)保持高增長(zhǎng) ，因IAST技術(shù)本身的業(yè)務(wù)透視、實(shí)時(shí)檢測(cè)、超低誤報(bào)率、可以定位到具體代碼行等技術(shù)特點(diǎn)，是當(dāng)前支撐敏捷安全的首選工具，在節(jié)奏上可以與敏捷開(kāi)發(fā)良好匹配。

除了IAST，報(bào)告還預(yù)測(cè)OSS開(kāi)源治理將成為新的熱點(diǎn)，RASP出廠免疫將迎來(lái)新發(fā)展。 當(dāng)開(kāi)源無(wú)處不在，風(fēng)險(xiǎn)也如影隨形，在組織的DevSecOps實(shí)踐中，會(huì)更加注重開(kāi)源風(fēng)險(xiǎn)的監(jiān)測(cè)與治理，構(gòu)建新一代開(kāi)源威脅綜合管控平臺(tái)勢(shì)在必行。隨著網(wǎng)絡(luò)安全從邊界安全到主機(jī)安全、再到應(yīng)用安全的發(fā)展演進(jìn)，運(yùn)行時(shí)安全將成為下一代應(yīng)用安全的重心，RASP技術(shù)通過(guò)與IAST技術(shù)的融合，將會(huì)提供更易于接受和使用的部署方案，為業(yè)務(wù)應(yīng)用出廠默認(rèn)安全提供更加接地氣的創(chuàng)新解決方案。

報(bào)告出品方希望通過(guò)本報(bào)告的調(diào)查及分析，能夠推動(dòng)更多行業(yè)用戶結(jié)合自身業(yè)務(wù)特點(diǎn)，嘗試了解、對(duì)比學(xué)習(xí)甚至著手采納業(yè)內(nèi)領(lǐng)先的DevSecOps敏捷安全體系及落地實(shí)踐經(jīng)驗(yàn)，從源頭追蹤軟件供應(yīng)鏈在開(kāi)發(fā)、測(cè)試、部署、運(yùn)營(yíng)等關(guān)鍵環(huán)節(jié)面臨的應(yīng)用安全風(fēng)險(xiǎn)與未知外部威脅，幫助政企組織逐步構(gòu)筑一套適應(yīng)自身業(yè)務(wù)彈性發(fā)展、面向敏捷業(yè)務(wù)交付并引領(lǐng)未來(lái)架構(gòu)演進(jìn)的內(nèi)生安全開(kāi)發(fā)運(yùn)營(yíng)體系。同時(shí)，也希望本報(bào)告能夠鼓勵(lì)更多不同類型的技術(shù)力量與DevSecOps行業(yè)展開(kāi)新的對(duì)話，并成為建立新的安全基準(zhǔn)的參考依據(jù)。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！