DevSecOps的现状与前景

关键要点

Mezmo于周二发布的研究显示，尽管只有22的组织表示已制定DevSecOps策略，但62的组织正在计划或评估其用例，预示着将有显著的未来增长。

更值得称道的是，在已经利用DevSecOps的组织中，95报告在加速事件检测方面的积极影响，96则表现出在响应工作上也有显著改善。

研究的负责人、企业战略组的高级分析师Melinda Marks表示：“DevSecOps一直是一个挑战，因为传统的安全方法对流程的干扰过大。组织需要能够与开发工作流程和工具以及他们的云原生技术栈相结合的解决方案。利用可观测性数据可以通过提供更好的安全流程、政策及更快捷的事件响应的洞察来推动效率。”

该研究还显示，91的组织在使用多种工具，以充分利用数据的价值，这使得多个团队在获取所需数据方面面临困难。缺乏“单一事实来源”被认为是制约团队发展的最大挑战。

Checkmarx的首席信息安全官Peter Chestna指出，DevSecOps的实施需要组织进行许多变革，以获得其好处。他表示，大多数组织在突破这一挑战之前会选择回退或停滞，但一旦突破，将会意识到DevSecOps的积极影响。

“报告指出，收集和报告正确的关键绩效指标(KPIs)是成功的关键步骤，”Chestna说道。“一旦我们掌握了事实，就必须建立一个以持续改进为基础的学习文化。对于DevSecOps而言，安全与开发团队之间的共同责任对于应用程序安全至关重要。将问题视为共同解决的任务可以缩短响应时间，提高结果。虽然克服这一挑战可能不易，但努力所带来的成果是惊人的。”

Lookout的安全解决方案高级经理Hank Schless补充道，安全集成到DevOps工作流程中已成为组织在利用CI/CD工具时软件开发生命周期的重要组成部分。他表示，由于持续的集成与交付循环，开发者对于产品更新和改进的期望很高。

“客户和用户期望随时获得最新和最好的产品，如果没有，他们可能会转向其他SaaS产品，”Schless表示。“这种期望导致了一个不幸的现象，即为了满足最后期限，推送新的更新有时会优先于安全测试。为了确保安全的开发过程，开发团队和安全团队需要合作，采用DevSecOps方法来提供他们的服务。”

相关链接： DevSecOps的重要性 Mezmo的研究发布