DevSecOps 的未来

采用
可以做的事情还有很多。您编码和构建的内容是您看到嵌入 CI/CD 管道的大部分进展的地方。随着世界在不同的云环境中变得更加由 API 驱动，我们将考虑如何将安全角度嵌入到所有这些事物中，无论平台如何构建。这是一个涉及人员的工作流程。您做得越多，就越安全。你永远不会完全没有任何安全感。总会有新的事情出现。反应时间非常关键。使用这些工具，了解您的文化并跟上变化。
五到七年内，这将成为 DevOps 的标准方式。
鉴于我们正处于演进的飞跃之中，它创造了很多自动化实践的机会，以及基于容器的技术的新平台以及适合 K8s 之上的框架。任何基于 K8 的技术堆栈都会带来机遇和挑战。随着技术的发展，安全团队如何保持领先地位？在进行新技术的 alpha 试验之前，先熟悉、了解风险并获得团队的理解。
目前，DevSecOps 的重点是将安全和风险管理协议实施到开发工作流程中，以确保代码在开发过程中尽早安全且合规，并且发布的代码满足最高的安全和隐私标准。这仍然是当前安全实践与 DevOps 开发文化之间的集成。未来，我想——或者至少我希望！— 安全组织将逐渐欣赏 DevOps 的高可见性和高协作共享代码文化，并全心全意地将这种方法引入到他们的安全实践中，借用已经很好地服务于开发的迭代和开放方法。开源运动告诉我们，对代码的多方关注会带来更强大的代码，对于安全测试和其他代码安全自动化来说，这一点也必将得到证明。
1) 随着越来越多的安全和合规性控制更早地嵌入到 DevOps 生命周期中，我们将继续看到未来安全性进一步向左移动。围绕 DevSecOps 管道本身的安全性作为一个重要的风险面，还将有更多的讨论和强调。2) 然而，最大的机会在于成功的 DevSecOps 实施，需要减少安全摩擦，从而成为现有安全工具创新的催化剂，使它们能够产生更准确、更相关的见解或行动。3) 到目前为止，大部分注意力都集中在为客户开发的代码和产品上。然而，组织有一个重要的机会在其他技术领域（例如内部 IT 环境）采用 DevSecOps 方法。可以获得相同的 DevSecOps 效率，以确保安全的内部 IT 环境。
跨数据生命周期和跨安全学科（例如访问控制、数据保护等）的保护。DevOps 将遍及数字化转型的各个方面，并消费各种形式的数据。在这些不同的环境中进行保护将具有挑战性，但也存在大量机会。
我喜欢 DevSecOps 在服务提供商领域所采取的总体方向。我们将各种工程学科融合得越紧密越好。然而，我仍然看到的最重要的事情是变革管理。变化快速而频繁，对于企业来说，这往往不是一件好事。这取决于组织愿意迁移到 DevSecOps 模型的风险偏好。
我预计，在未来 18 个月内，转向 DevSecOps 的组织比例将显着增加。主要驱动因素包括风险和合规驱动的举措、数字化转型、云迁移，以及在数据泄露经常成为头条新闻时为客户构建安全产品的愿望。
安全是根深蒂固的
管道中的人员还相当不成熟。他们已经整合了 SonarQube 并且认为它们很好。当安全与产品团队整合时，它会产生更大的影响。更多提高效率的指标。安全扫描器的代码覆盖率是多少？我们是否合并了其他恶意软件扫描程序？已修复多少威胁？我们刚刚开始研究 DevSecOps 的指标，以确定指标是什么样的。
DevOps 和 DevSecOps 将合并。分享相同的哲学。还有一个相反的问题，即人们将其视为一种时尚。
我相信，在企业需要实施涵盖从开始到结束的构建-交付-运行生命周期的应用程序安全性的推动下，我们将看到 DevOps 加速转变为 DevSecOps。现在企业很清楚，仅靠图像扫描和主机安全无法保护应用程序免受毁灭性零日攻击的威胁。容器化环境使得整个应用程序生命周期中的 DevSecOps 和安全性需求变得尤为重要，因为企业现在在生产中使用容器，并且需要自动化、专业的容器网络安全来阻止对这些高度动态环境的攻击。
未来将为每个人提供足够的动力去做这件事。真正擅长安全的组织现在从高层开始优先考虑它。他们这样做可能是因为他们觉得安全感使他们有别于竞争对手。他们这样做可能是因为有些人真正关心它并且知道这是正确的事情。我们需要让默认安全变得更容易。将安全优先事项移至底层并继续前进太容易了。如果在不安全的情况下做事比完成同样的事情更困难，但由于安全贯穿始终，那么这一运动就奏效了。
自动化——即使是构建基础设施和审核安全配置的基本自动化，也能以很小的成本带来巨大的好处。教育——让团队不再只是背诵“安全是每个人的责任”，而是让他们了解安全对公司底线的重要性，从而激励将安全纳入整个开发过程。
随着越来越多的公司开始采用 DevOps 并转向公共云，我们将看到这一领域的进一步增长。DevSecOps 将与 DevOps 创新和采用齐头并进。
让开发人员和运营人员承担更多的安全责任。随着越来越多的人意识到安全性，DevSecOps 承担了大部分工作并进行了分发。更多的人将接受开发和运营安全方面的培训。
安全性必须融入 DevOps 中。需要更多的失败和违规行为，人们才会认真对待它。
随着行业继续向微服务和无服务器架构发展，组织的整体攻击面将呈指数级增长。企业领导者将把 DevSecOps 视为在数字世界中运营的基本要求。成功的 DevSecOps 实施将以更快的速度、更少的人为干预来检测和解决潜在的安全威胁。
DevOps 正在快速转向所需状态的配置模型。开发者说世界应该是什么样子；系统将实际状态收敛到期望状态，例如 Kubernetes、Terraform 等。期望状态的引入为 DevSecOps 提供了前所未有的机会，可以将法规/最佳实践作为期望状态的护栏 - 有效地阻止安全、操作和合规性问题出现之前。
人工智能/机器学习
自动化是关键。我们采访了 450 名 IT 运营专业人士，了解如何满足他们的业务需求。31% 的人捉襟见肘，因为没有足够的人来完成这一切。自动化工作流程、测试和开发就是答案。通过自动化简化流程。使用 AI 驱动的应用程序和 ML 来改进 DevOps。使用 AI 和 ML 了解应将时间集中在哪里进行漏洞管理。
最大的机会在于创建成熟的解决方案，确保对 DevSecOps 管道中的应用程序和基础设施进行自动安全检查，加速整个管道并减少误报。此外，实施基于人工智能的解决方案来预测和识别模式，在黑客发现安全漏洞之前发现安全漏洞，这是公司应该集中精力的一个关键机会。
“DevSecOps”这个术语可能很快就会消失。这并不是说安全将会消失；而是说安全将会消失。相反，安全将成为软件交付的一个基本部分，以至于不再需要“安全的 DevOps”的单独名称。随着我们更好地将安全性预先嵌入到我们的软件中，客户和用户面临的风险将会减少，他们的信任程度也会提高。人工智能 (AI) 在威胁检测、生物识别登录和威胁响应的安全领域变得越来越普遍，并且很可能在不久的将来成为 DevSecOps 的一部分，从而减少测试所需的时间，同时提高效率。