2023年DevSecOps發展趨勢

DevSecOps可能是一個相對較新的組合學科，指的是在軟件開發生命周期的早期包含安全規劃，以加強網絡防御，但它將成為企業的一個至關重要的領域。

2023年的主要趨勢

以下是我們預計2023年DevSecOps領域將出現的主要行業趨勢。

自動化支撐創新

自動化是提高運營效率的關鍵機制，今年將在安全領域得到進一步發展。人工智能（AI）正在與自動化相結合，使公司能夠在整個組織中簡化和擴大決策，以抵消目前用于完成日常流程的大部分手動工作。這將使安全團隊能夠以更高的精度和靈活性將精力集中在更多的戰略計劃上，并將更多的操作功能留給自動化。

將DevSecOps構建到公司實踐背后的戰略也將成熟，允許創新在沒有不可預見的障礙的情況下發展。“設計即安全（secure-by-design）”的概念可能是陳腐的，但其所遵循的原則卻并不陳腐——創建網絡安全標準，檢測漏洞，并在一開始就糾正問題以防止風險。這將是2023年的變革性方法。

工具整合

在將安全性納入流程之前，組織需要確定哪些工具最適合解決最緊迫的挑戰。工具蔓延（Tool sprawl）——即組織建立他們的工具堆棧，直到成本超過回報——是組織必須抑制和避免的一種低效率方法。

相反地，我們可能會看到更普遍的安全工具整合。根據Gartner的數據顯示，75%的組織已經開啟了這一過程。將工具鏈的可觀察性和監控納入一個平臺，使公司能夠全面了解哪些工具導致了阻塞。從碎片化工具架構到流線型工具架構將為構建和加強其他流程提供更有利的環境。

基礎設施即代碼（IaC）

傳統的IT基礎設施管理流程是手動的，這必然會影響成本和資源——需要熟練的勞動力來執行相關任務。有了云計算，IT領域的組件數量一直在增長，每天都有更多的應用程序發布。IaC在這里是一個非常寶貴的工具——使用配置文件，IaC可以管理和監督當今不斷發展的基礎設施的規模。

軟件的歷史就是在抽象之上再逐層抽象，所以，從開發角度，他們需要一個抽象層來屏蔽復雜的基礎設施特性，控制下層的基礎設施，提供自身API或者是可編程的方式供開發者使用。隨著服務和配置選項的數量呈指數級增長，IaC允許一定程度的抽象，使工程師不必跟上這些變化。IaC最大限度地發揮了云計算的潛力，為開發人員節省了時間。

自動化補救

不斷上升的網絡犯罪已經將數字安全推到了企業總體戰略的最前沿。企業越來越注重補救，而不僅僅是檢測，以避免承擔越來越多的風險。例如，它的工作原理是持續監控網絡中的任何不規則活動，然后通過在固件上安裝安全補丁來消除威脅載體。

根據Gartner的說法，組織應該準備在補丁發布后立即對關鍵系統進行緊急修復，以解決漏洞威脅。為了執行緊急響應，組織必須部署一種智能、自動化的補救方法，該方法完全集成到其流程中，足夠獨立，可以立即解決日常問題，并適合其體系結構。規范性的“最佳實踐”在2023年不會奏效——補救措施必須自動化才能有效。

超越SBOMs

在白宮加強軟件供應鏈安全備忘錄的推動下，軟件材料清單（SBOM），即代碼庫的清單，已被尊為“軟件透明度的游戲規則改變者”。得益于安全和軟件專業人員間的一些改進和凝聚力，SBOM有潛力成為一個值得尊敬的行業基準，今年，SBOM可能會達到一個成熟階段，以確保其交付能夠與宣傳相匹配。

SBOM旨在揭開應用程序所使用的軟件組件的面紗，從而實現更明智的風險管理決策。當軟件生產商能夠向客戶交付SBOM時，就表明他們采用了先進的軟件實踐。盡管SBOM的目標令人欽佩，但在實際應用上仍然存在諸多障礙。例如，有許多設計用于自動生成SBOM的工具，但它們在提供數據的方式上并不一致。

此外，SBOM在采購決策方面的價值也有限。供應商將不得不經常更新SBOM；這意味著在做出采購決定時，用戶的SBOM可能已經過時了。附加的工具，如軟件組合分析和代碼簽名，將成為完整的、管理良好的和安全的軟件供應鏈的必要元素。最終，這將需要行業的共同努力，包括定義最佳實踐和標準，以及激勵供應商更加透明化。

網絡安全仍是組織優先級

今年，在國際經濟形勢和諸多因素的共同作用下，我們將不可避免地看到組織收緊預算和重組以維持運營。與此同時，DevSecOps的定位是向上增長。網絡安全風險仍然是人們最關心的問題，開發SecOps策略能夠通過預防網絡安全風險來節省時間和金錢。

盡管如此，我們將看到這些預算優化轉向提供更多可操作結果的解決方案，這些解決方案擁有更多的補救措施，能夠釋放緊缺且昂貴的工程師資源，從設計階段就將安全性集成到軟件開發周期的流程，以及有助于簡化而不是拓展組織工具包的自動化。