面向企業的 DevSecOps 的優勢和挑戰

網路攻擊者不斷更新其攻擊技術來破壞公司系統，獲取關鍵資料和資訊。程式碼漏洞是一個很好的入侵途徑，通常一小段程式碼實現非常簡單的任務，但卻可能是嚴重問題的根源(例如，日誌記錄、報告服務和應用程式的連結部分)。

事實上，只需要一次利用、漏洞或人為錯誤就會導致資料洩露，平均損失435萬美元。一些專家預計，到2025年，這些違規行為可能會造成總計10.5萬億美元的損失。因此，企業需要思考如果有人進入他們的系統利用程式碼會發生什麼，這對他們的公司意味著什麼。

企業面臨的問題

在傳統的開發實踐中，安全性檢測一般會在上線之前進行。在將應用程式釋出到生產環境之前執行安全測試，如果發現問題再進行修復並延遲上線。

DevSecOps將安全性整合到軟體開發生命週期(SDLC)的每個步驟中，從需求到架構和設計、編碼、測試、釋出和部署。透過將安全實踐自動化並整合到軟體開發生命週期中，開發團隊可以更快地對漏洞做出反應，自動執行安全檢查，並以更可靠和安全的產品進入生產環境。

DevSecOps的優勢和最佳實踐

在開發週期的早期簡化 SDLC 並在流程中包括安全檢查(通常是自動化的)，可以在問題對開發和業務產生負面影響之前識別問題。在開發週期的早期修復漏洞比在生產之前發現的漏洞代價要低一個數量級。

DevSecOps在採用敏捷實踐以快速實現持續整合、部署和可伸縮性的組織中工作可以發揮很好的作用。簡化和自動化這些實踐的道路可能很長，但有效應用DevSecOps最佳實踐可以減少公司的成本。

為了使DevSecOps有效，在收集需求和規劃架構時，安全性必須佔有一席之地。這種工作實踐的整合確保了早期識別風險，並且可以在應用程式投入生產之前很好地緩解風險。

克服DevSecOps的挑戰

在實現DevSecOps時存在許多困難。以下是其中的兩個：

1. 文化轉變：

採用DevSecOps方法進行領導需要在組織內部進行巨大的文化轉變，這對當今許多部門的運作方式構成了挑戰。許多員工可能會發現很難徹底改變他們多年來一直在做的事情。另一個障礙是認為更加關注安全性會減緩程式並限制創新。開發人員想要快速編寫程式碼完成進度，而安全團隊則專注於確保程式碼的安全性。

2. 複雜的工具整合：

大多數DevOps工具鏈是由不同的供應商生產的。團隊根據他們獨特的需求選擇原始碼管理、持續整合/交付(CI/CD)、構建工具、二進位制庫、程式碼評審和問題監控解決方案。將安全工具新增到管道中可能會為確保兩個團隊的最佳結果帶來挑戰。

開發管道中的安全測試通常會涉及到軟體組合分析(SCA)、 靜態應用程式安全測試(SAST)和某種形式的動態測試的工具等。整合到這些工具的管道中是非常重要的，但也帶來了一些複雜性。開發人員需要知道掃描的目的，以及如何處理他們發現的問題。重要的是，開發人員要準確地瞭解問題產生的位置以及問題的含義。但是，組合比較多供應商資源的結果和資料可能具有挑戰性。

克服這些障礙需要一定的時間。一旦DevSecOps方法被接受並在整個公司內完全實現，可以預見開發的程式碼缺陷和安全風險更少。部署程式碼的成本最終也會降低，並提高組織投資回報。總的來說，在這一過程中建立的系統將更加靈活，能夠適應現代威脅和數字化轉型中的變化。

來源：

https://devops.com/benefits-and-challenges-of-devsecops-for-business/