當前位置:首頁 >  科技 >  IT業(yè)界 >  正文

《2020 DevSecOps行業(yè)洞察報告》正式發(fā)布了

 2021-01-07 16:24  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  阿里云優(yōu)惠券 先領券再下單

隨著云計算、微服務和容器技術的快速普及,IT基礎架構和政企組織的業(yè)務交付模式迎來了巨大變遷,傳統(tǒng)SDLC開發(fā)模式向DevOps敏捷開發(fā)和持續(xù)交付模式遷移。

2020年12月30日,懸鏡安全聯(lián)合Freebuf咨詢在CIS大會“DevSecOps實踐與技術專場”正式對外發(fā)布《2020 DevSecOps行業(yè)洞察報告》。懸鏡安全創(chuàng)始人兼CEO子芽、Freebuf咨詢負責人尤文、懸鏡安全COO董毅出席了報告發(fā)布儀式。

報告出品人子芽表示: 今年的RSA Conference于2月24-28日在美國舊金山如期召開, 會議主題為“Human Element”,人為因素被認為是影響未來網(wǎng)絡安全發(fā)展最深遠的主題。會議期間,官方還基于參會人員的關注熱度,發(fā)布了2020年網(wǎng)絡安全行業(yè)十大趨勢,DevSecOps再次成為大家關注的焦點之一。其中,有著“全球網(wǎng)絡安全風向標”之稱的RSA創(chuàng)新沙盒,進入十強的安全廠商中近半數(shù)聚焦在應用安全領域,BluBracket和ForAllSecure等就是今年DevSecOps 領域的創(chuàng)新廠商代表,Comcast、US DoD 及NIWC等機構的DevSecOps 落地應用也逐漸成為行業(yè)實踐典范。

雖然國內的金融、能源、互聯(lián)網(wǎng)等產業(yè)用戶沒有像美國一些頭部機構那樣做DevSecOps的深度轉型,大部分還是現(xiàn)有的SDL體系,但這并不妨礙我們開始積極擁抱DevSecOps框架及CI/CD黃金管道涉及的敏捷安全活動。正是這些關鍵活動涉及的新興技術的逐漸成熟和敏捷安全新理念的普及,推動了國內DevSecOps體系的逐漸落地,關鍵標志之一就是持續(xù)專注DevSecOps的創(chuàng)新安全廠商開始涌現(xiàn),我們的通用技術方案開始被越來越多的行業(yè)頭部用戶采納,并分階段持續(xù)為行業(yè)用戶建立起逐漸完善的安全開發(fā)運營體系。懸鏡安全聯(lián)合 Freebuf 咨詢在國內發(fā)布首個DevSecOps行業(yè)調查報告,希望從行業(yè)用戶、廠商力量及安全媒體等綜合視角觀察并分析DevSecOps在國內的發(fā)展現(xiàn)狀。

整個報告 分上下篇, 上篇為 調查篇 ,對DevSecOps實踐情況進行了一定調查。 通過問卷調查、資料收集、交流訪談及技術沙龍等形式開展相關調查工作,對千余名不同 IT 背景的專業(yè)人員進行了調研,通過他們的聲音和真實反饋,表明了DevSecOps正逐漸被應用開發(fā)團隊認可并加速實踐,部分領先機構的應用安全工作在軟件開發(fā)生命周期的早期就已經實現(xiàn)高度自動化。

下篇為 洞見篇 ,描繪了不同行業(yè)的DevSecOps實踐現(xiàn)狀,梳理了當前敏捷安全技術發(fā)展熱點技術,并對未來發(fā)展趨勢做了初步預測。 這部分內容主要依賴于同行業(yè)專家的溝通與座談,并融合了出品方在行業(yè)中觀察到的具體現(xiàn)象、發(fā)展趨勢和應用案例。

該報告面向全行業(yè)首次發(fā)布了DevSecOps安全工具金字塔體系,第一次系統(tǒng)性定義了面向未來DevSecOps技術演進的工具鏈技術,并綜合考慮了新型技術的前瞻性、落地實踐難度及市場普及程度所需周期,涵蓋了從傳統(tǒng)建設層、應用實踐層再到卓越層的不同的發(fā)展階段。

DevSecOps 安全工具金字塔

金字塔中的安全工具分層與組織的DevSecOps成熟度分級沒有直接關系,僅使用低層次的安全工具也可以完成高等級的DevSecOps實踐成熟度,反之亦然。金字塔中的工具分層與該工具的普適性、侵入性、易用性等因素相關。普適性強、侵入性低、易用性高的安全工具更適合作為底層基礎優(yōu)先引入,普適性弱、侵入性高、易用性低的工具則適合作為進階工具幫助DevSecOps實踐變得更加完善且深入。

此外,該報告預判,IAST將在2021年繼續(xù)保持高增長 ,因IAST技術本身的業(yè)務透視、實時檢測、超低誤報率、可以定位到具體代碼行等技術特點,是當前支撐敏捷安全的首選工具,在節(jié)奏上可以與敏捷開發(fā)良好匹配。

除了IAST,報告還預測OSS開源治理將成為新的熱點,RASP出廠免疫將迎來新發(fā)展。 當開源無處不在,風險也如影隨形,在組織的DevSecOps實踐中,會更加注重開源風險的監(jiān)測與治理,構建新一代開源威脅綜合管控平臺勢在必行。隨著網(wǎng)絡安全從邊界安全到主機安全、再到應用安全的發(fā)展演進,運行時安全將成為下一代應用安全的重心,RASP技術通過與IAST技術的融合,將會提供更易于接受和使用的部署方案,為業(yè)務應用出廠默認安全提供更加接地氣的創(chuàng)新解決方案。

報告出品方希望通過本報告的調查及分析,能夠推動更多行業(yè)用戶結合自身業(yè)務特點,嘗試了解、對比學習甚至著手采納業(yè)內領先的DevSecOps敏捷安全體系及落地實踐經驗,從源頭追蹤軟件供應鏈在開發(fā)、測試、部署、運營等關鍵環(huán)節(jié)面臨的應用安全風險與未知外部威脅,幫助政企組織逐步構筑一套適應自身業(yè)務彈性發(fā)展、面向敏捷業(yè)務交付并引領未來架構演進的內生安全開發(fā)運營體系。同時,也希望本報告能夠鼓勵更多不同類型的技術力量與DevSecOps行業(yè)展開新的對話,并成為建立新的安全基準的參考依據(jù)。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關標簽
云計算
架構設計

相關文章

  • 2025年華納云新年煥新季,香港云4H4G3M特惠696元/年,E5物理服務器688元/月起

    新年伊始,萬象更新,為回饋新老用戶,香港IDC華納云官網(wǎng)特別推出【新年煥新季】活動,爆款產品低至2折,包括云服務器、CN2服務器、站群服務器、大帶寬服務器、高防服務器等多種產品優(yōu)惠,全場續(xù)費不漲價!活動截止時間2025年2月12日;點擊直達【華納云官網(wǎng)】本次活動內容如下:1.海外云服務器低至16元/

    標簽:
    云計算

  • 云計算,用價格讓利換創(chuàng)新空間?

    價格讓利的背后,是公共云的創(chuàng)新空間

    標簽:
    云計算

  • 11月27日,2023亞馬遜云科技re:Invent在美國拉斯維加斯盛大啟幕!

    云計算領域的風向標、科技界的年度重磅盛會2023亞馬遜云科技re:Invent將于11月27日在美國拉斯維加斯盛大啟幕!歷年來,亞馬遜云科技re:Invent不僅是全球云計算從業(yè)者的年度狂歡,更是全球云計算領域每年創(chuàng)新發(fā)布的關鍵節(jié)點。回看去年re:Invent高光瞬間,亞馬遜云科技創(chuàng)新不斷,“點亮”

    標簽:
    亞馬遜
    云計算

  • 云服務器的熱潮:為什么它如此受歡迎?

    在數(shù)字化時代,數(shù)據(jù)是企業(yè)的生命線。隨著云計算技術的不斷發(fā)展和普及,云服務器已經成為了企業(yè)和個人用戶的首選。那么,為什么云服務器會如此熱門呢?本文將從以下幾個方面進行詳細解析。

  • 青云QingCloud成為北京市算力互聯(lián)互通試點參與企業(yè)

    經過北京市通信管理局聯(lián)合中國信息通信研究院組織相關專家的評選,北京市算力互聯(lián)互通試點參與企業(yè)名單(第二批)已正式公布,青云科技(qingcloud.com)與其他11家企業(yè)共同入選。算力作為數(shù)字經濟時代的新型生產力,正在加速融入經濟社會的各個領域。北京市通信管理局以算力互聯(lián)互通體系化建設為總目標,持

    標簽:
    云計算
加載更多

熱門排行

信息推薦