2023年DevSecOps发展趋向

DevSecOps可能是近来新兴的结合领域，指的是在软件开发生命周期的早期包含安全规划，以加强网络防御，但它将成为企业的一个至关重要的领域。

自动化是提高运营效率的关键机制，今年将在安全领域得到进一步发展。人工智能（AI）正在与自动化相结合，使公司能够在整个组织中简化和扩大决策，以抵消目前用于完成日常流程的大部分手动工作。这将使安全团队能够以更高的精度和灵活性，将精力集中在更多的战略计划上，并将更多的操作功能留给自动化。

传统的IT基础设施管理流程是手动的，这必然会影响成本和资源——需要熟练的劳动力来执行相关任务。有了云计算，IT领域的组件数量一直在增长，每天都有更多的应用程序发布。使用IaC在这里是为了一个非常宝贵的工具——通过使用我们的配置文件，IaC可以自动化的管理和监督我们的当今不断发展的基础设施的规模。

根据Gartner的说法，组织应该准备在补丁发布后立即对关键系统进行紧急修复，以解决漏洞威胁。为了执行紧急响应，组织必须部署一种智能、自动化的补救方法，该方法完全集成到其流程中，足够独立，可以立即解决日常问题，并适合其体系结构。规范性的“最佳实践”在2023年不会奏效——补救措施必须自动化才能有效。

SBOM旨在揭开应用程序所使用的软件组件的面纱，从而实现更明智的风险管理决策。当软件生产商能够向客户交付SBOM时，就表明他们采用了先进的软件实践。尽管SBOM的目标令人钦佩，但在实际应用上仍然存在诸多障碍。例如，有许多设计用于自动生成SBOM的工具，但它们在提供数据的方式上并不一致。

此外，SBOM在采购决策方面的价值也有限。供应商将不得不经常更新SBOM；这意味着在做出采购决定时，用户的SBOM可能已经过时了。附加的工具，如软件组合分析和代码签名，将成为完整的、管理良好的和安全的软件供应链的必要元素。最终，这将需要行业的共同努力，包括定义最佳实践和标准，以及激励供应商更加透明化。对于软件开发人员来说，这意味着他们可以通过自己的工作来创建和维护他们的产品，而不必依赖于其他人。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!