【IT168 调查报告】DevOps社区正在努力将安全性带入企业和整个软件开发生命周期(SDLC)。然而,Sonatype的新调查显示,虽然企业面临诸多挑战,但成熟的企业终于意识到在SDLC早期启动自动化安全是至关重要的。
Sonatype是一家软件自动化和安全公司,收到了来自2700多名IT专业人士关于2017年DevSecOps社区的调查数据。Sonatype在分析后发现,IT企业将DevOps做法描述为非常成熟或者提高成熟度占比为67%,47%的传统开发和运营团队报告安全团队和政策正在放缓。
传统上,安全团队不在开发和运营之外,而安全专家则认为它呈现上升态势,尤其在开发过程中被提及。根据Sonatype副总裁和DevOps倡导者Derek Weeks表示,安全性在开发过程中应该得到早日解决。
调查结果的最大的惊喜是,从2014年到现在,安全自动化的巨大差异主要是来自于具有更成熟的DevOps实践的企业。Weeks表示,根据今年的调查,58%的成熟DevOps团队将自动化安全作为持续集成实践的一部分。
他表示,调查能够给DevSecOps社区反馈一些消息。正面的是,早期推进自动化安全的发展已经发生。但也存在对DevOps怀疑或抵制的数据。调查发现一些企业正在抵制DevSecOps,58%的受访者表示安全性抑制了DevOps的敏捷性。
Weeks表示,对整个生命周期中采用的自动化安全措施感到惊喜。根据调查,当被问及企业执行应用程序安全分析的程度时,49%的受访者在进行质量检查/测试时作出回应,45%的受访者表示在上市之前,有27%的企业支出包括设计中的一切和架构阶段,直到软件投入生产都会考虑DevSecOps。
对于高度成熟的DevOps自动化安全的公司被问及同样的问题时,57%的受访者在进行应用安全分析之前做出了回应,有42%的受访者表示,他们对软件开发的所有阶段进行分析生命周期。
对于是否实施了良好的版本控制实践和工具,以便为部署到生产中的所有应用程序维持明确的问责制和可追溯性时。据调查结果显示,44.6%的受访者同意,37.5%部分赞同。
此外,IT专业人员被问及企业是否具有开源治理政策或关于在软件中使用好的和坏的组件的规则时。得到的调查结果是,57%回答了是,这与2014对开放源代码治理政策的调查结果相同,但Weeks表示,虽然这个数字并没有改变,但在同一时期内违规数量却有所增加。
因为调查中,提及是否过去12个月内由于开源组件而导致漏洞的发生。2014年,有14%的受访者怀疑或证实有开源的违规行为,而2017年这一数字上升到20%。
所以虽然开源组件的规则和策略保持不变,但是由于开源组件漏洞引起的违规的行为在增加。 Weeks表示,这表明企业需要有更多的规则和政策来采用开源软件。
Weeks表示,整体分析指出,DevOps的安全性十分重要,所以企业可以在整个生命周期中实现这一点。对于那些正在犹豫的企业,通过这份调查可以看到市场上正在实施整个生命周期中的应用程序安全性的这些公司,并从他们的非常好的实践中借鉴。
比如,他们在这个领域正在做什么?以及他们的企业如何利用应用程序安全自动化工具和解决方案?