本文来源:about.gitlab.com
作者:Sandra Gittlen
译者:极狐(GitLab) 市场部内容团队
2023 年,企业会将更多的时间和资源投入到持续的安全左移上,完成从 DevOps 到 DevSecOps 的演变。
GitLab CMSO Ashley Kramer 表示,每一个公司都需要将安全紧密集成到 DevOps 中,以应对整个软件开发生命周期中不断增加的威胁。此外,DevSecOps 团队需要持续关注供应链安全,充分利用 AI 和 ML,并进一步使用价值流分析。
下文内容整理自 GitLab 多位部门负责人的分享,他们预测了2023年 DevSecOps 五大发展趋势。
预测一 保护供应链安全将是最高优先级
首席产品官 David DeSanto 表示,安全依旧是整个组织的责任,将进一步 “左移”,并从集成开发环境(IDE)扩展到生产环境。
GitLab 2022 年全球 DevSecOps 调研报告提到,57 % 的安全团队表示他们的组织已经在实施或计划在 2023 年实施安全左移;一半的安全专家表示开发者未能识别的安全漏洞高达 75%。
安全左移的原因之一是加强软件供应链安全。“随着远程开发变得越来越普遍,软件供应链安全将在软件开发生命周期中发挥更广泛的作用。” DeSanto 说道。
全球 Field CISO Francis Ofungwu 预测,软件供应链安全将朝着以下三个方向发展:
- 一线工程师将在日常运维中承担更多的威胁管理职责。为了完成这一工作,开发人员需要在软件开发生命周期的每个阶段,实时了解漏洞情况和修复策略,降低生产环境中发生严重事件的可能性。
- 安全和合规团队将把软件安全保障策略融入代码,避免因耗时的手动安全审查,拖累开发速度。
- 一些引人瞩目的安全事件进一步凸显了软件开发风险。组织将建立审计流程,更好地评估和报告 SDLC 风险。这就要求组织设计好如何交付工件,以证明其开发工具链各方面部署的控件具有不变性。
“多年来,在软件供应链安全方面,诞生了许多最佳实践。这些实践的做法和成果,正在成为监管的参考,列入监管条例和准则。” 安全合规经理 Corey Oas 说道。他指出工件证明和软件物料清单 (SBOM) 生成,很快将成为政府或行业强制执行的最佳实践示例,这两者都是开发流程中不可或缺的部分。
产品组管理经理 Sam White 重申了 SBOM 和工件证明预测,称 DevSecOps 团队需要持续关注 SBOM 和证明。“我期待看到这样一个转变:从把 SBOM 和工件证明视为一次性事件,变为将它们视为持续评估过程的一部分。” 他说,“另外,组织需要更深入了解软件依赖(如开源软件包)和集中化构建信息。”
软件供应链安全的另外一个要素就是零信任。“企业组织关注零信任已经有一段时间了,这将是未来的实施重点,” GitLab 联席 CTO Joel Krooswyk 表示,“至少在联邦机构及其供应商中,这一变革的原因之一是国防部最近发布了零信任架构战略和路线图,并将零信任原则纳入美国国家标准与技术研究院部分出版物,例如 800-207。”
扩展阅读:在中国,一系列推动零信任落地的政策也接连发布,如工信部发布《关于促进网络安全产业发展的指导意见》和《网络安全产业高质量发展三年行动计划(2021-2023 年)》,都明确提出支持发展零信任安全,并将多个零信任项目列入试点示范项目,全力打造牢固的安全防护能力。
更多关于预测内容,可以关注 webcast [2022 回顾 & 2023 网络安全预测 & GitLab 零信任]
预测二 安全将深入 DevOps 教育
为了加速 DevOps 演进到 DevSecOps ,需要将安全视为 DevOps 培训和教育课程的重要部分,White 表示,并且组织必须提供培训,让开发人员获得基本安全知识,包括识别各种漏洞的重要性与解决之道。
教育布道师 Pj Metz 认为, 2023 年将是 “安全左移原则出现在大学课堂上” 的元年。
“GitLab 教育团队已经收到了越来越多关于 DevSecOps 的教育请求,不仅仅是计算机科学和编程专业,信息系统专业的学生也希望了解 DevSecOps 更多内容,” 他说,“在 DevOps 课程中直接集成安全教育,将为未来的 DevSecOps 人才需求做好准备。”
预测三 AI/ML 将贯穿 SDLC
“AI 将成为提高生产力的关键。” Kramer 说到,“比如,DevOps 团队可以集成 AI/ML ,用于自动执行那些重复且困难的任务。理想情况下,可以通过消除认知负担来减轻开发人员的压力,减少上下文切换次数,最终让开发人员能够聚焦在核心业务研发上。”
根据 GitLab 2022 年 DevSecOps 调研显示,62% 的受访者表示正在实践 ModelOps,51% 的受访者正在使用 AI/ML 来检查代码。
“将数字化转型和业务分析与 AI 相结合,才能让数字化转型真正发生。” 社区项目经理 Christina Hupy 说道,“随着输入更多数据,企业可以得出真实洞察,并使用 AI 来不断改进系统。”
DeSanto 同意这个观点,并预测 AI 辅助工作流将在软件开发中普及。“AI/ML 将进一步助力研发加速、安全修复和提高自动化测试以及可观测性。”他说道。
数据科学产品经理 Taylor McCaslin 表示,随着 AI/ML 在整个 SDLC 中使用,组织需要更加关注隐私问题、保护知识产权(例如 AI 生成的代码所有权)以及训练数据集和算法相关许可许。
同时,他表示要加快开发 MLOps 和 DataOps,利用 ML 和 AI 帮助开发人员管理、维护和迭代软件系统。”(GitLab 正投入于对 ModelOps 的研究,以让 GitLab 能够更好的支持数据科学方面的软件开发。)
预测四 价值流分析将在组织中发挥更大作用
今年要推进数字化转型的组织,需要对价值流有更深入研究。“价值流分析将拓宽过去的开发工作流程,以更全面地了解组织向其用户(内部和外部)提供的价值。” DeSanto 说道。
管理团队在寻求一些数据指标——通过这些指标,能够深入分析数字化转型和技术投资如何创造价值,推动业务成果。相对于以往仅关注开发效率而言,这是一个重要转变。
2022 年全球 DevSecOps 调研报告指出,75% 的受访者表示他们要么已经在使用一体化 DevOps 平台,要么计划在年内迁移到一体化 DevOps 平台,驱动这一行动的原因之一就是对价值流分析和可观测性的需求。
预测五 可观测性将左移,以实现高效的DevSecOps
高级开发者布道师 Michael Friedrich 称,可观测性将在 SDLC 中进一步左移,“可观测性驱动的研发,将使每个人都变得更加高效和更具创新力。”
eBPF 等新的可观测性技术,将帮助开发者进行自动化代码检测,而非通过手动检测,增加额外的工作负担。而且,eBPF 将更好地支撑云原生环境中的可观测性和安全工作流的落地。
可观测性将在提高 DevSecOps 工作流效率方面发挥重大作用,包括 CI/CD、基础设施成本分析和趋势预测,以实现更好的容量规划。