共计 2800 个字符,预计需要花费 7 分钟才能阅读完成。
本文起源:about.gitlab.com
作者:Sandra Gittlen
译者:极狐(GitLab) 市场部内容团队
2023 年,企业会将更多的工夫和资源投入到继续的平安左移上,实现从 DevOps 到 DevSecOps 的演变。
GitLab CMSO Ashley Kramer 示意,每一个公司都须要将平安严密集成到 DevOps 中,以应答整个软件开发生命周期中一直减少的威逼。此外,DevSecOps 团队须要继续关注供应链平安,充分利用 AI 和 ML,并进一步应用价值流剖析。
下文内容整顿自 GitLab 多位部门负责人的分享,他们预测了 2023 年 DevSecOps 五大发展趋势。
预测一 爱护供应链平安将是最高优先级
首席产品官 David DeSanto 示意,平安仍旧是整个组织的责任,将进一步“左移”,并从集成开发环境(IDE)扩大到生产环境。
GitLab 2022 年寰球 DevSecOps 调研报告提到,57 % 的平安团队示意他们的组织曾经在施行或打算在 2023 年施行平安左移;一半的平安专家示意开发者未能辨认的安全漏洞高达 75%。
平安左移的起因之一是 增强软件供应链平安。“随着近程开发变得越来越广泛,软件供应链平安将在软件开发生命周期中施展更宽泛的作用。”DeSanto 说道。
寰球 Field CISO Francis Ofungwu 预测,软件供应链平安将朝着以下三个方向倒退:
- 一线工程师将在日常运维中承当更多的威逼治理职责。为了实现这一工作,开发人员须要在软件开发生命周期的每个阶段,实时理解破绽状况和修复策略,降低生产环境中产生重大事件的可能性。
- 平安和合规团队将把软件平安保障策略融入代码,防止因耗时的手动平安审查,连累开发速度。
- 一些引人瞩目的安全事件进一步凸显了软件开发危险。组织将建设审计流程,更好地评估和报告 SDLC 危险。这就要求组织设计好如何交付工件,以证实其开发工具链各方面部署的控件具备不变性。
“多年来,在软件供应链平安方面,诞生了许多最佳实际。这些实际的做法和成绩,正在成为监管的参考,列入监管条例和准则。”平安合规经理 Corey Oas 说道。他指出 工件证实和软件物料清单 (SBOM) 生成,很快将成为政府或行业强制执行的最佳实际示例,这两者都是开发流程中不可或缺的局部。
产品组治理经理 Sam White 重申了 SBOM 和工件证实预测,称 DevSecOps 团队须要继续关注 SBOM 和证实。“我期待看到这样一个转变:从把 SBOM 和工件证实视为一次性事件,变为将它们视为继续评估过程的一部分。”他说,“另外,组织须要更深刻理解软件依赖(如开源软件包)和集中化构建信息。”
软件供应链平安的另外一个因素就是 零信赖。“企业组织关注零信赖曾经有一段时间了,这将是将来的施行重点,”GitLab 联席 CTO Joel Krooswyk 示意,“至多在联邦机构及其供应商中,这一改革的起因之一是国防部最近公布了零信赖架构策略和路线图,并将零信赖准则纳入美国国家标准与技术研究院局部出版物,例如 800-207。”
扩大浏览:在中国,一系列推动零信赖落地的政策也接连公布,如工信部公布《对于促成网络安全产业倒退的领导意见》和《网络安全产业高质量倒退三年行动计划(2021-2023 年)》,都明确提出反对倒退零信赖平安,并将多个零信赖我的项目列入试点示范我的项目,全力打造牢固的平安防护能力。
更多对于预测内容,能够关注 webcast [2022 回顾 & 2023 网络安全预测 & GitLab 零信赖]
预测二 平安将深刻 DevOps 教育
为了减速 DevOps 演进到 DevSecOps,须要将平安视为 DevOps 培训和教育课程的重要局部,White 示意,并且组织必须提供培训,让开发人员取得根本平安常识,包含辨认各种破绽的重要性与解决之道。
教育布道师 Pj Metz 认为,2023 年将是“平安左移准则呈现在大学课堂上”的元年。
“GitLab 教育团队曾经收到了越来越多对于 DevSecOps 的教育申请,不仅仅是计算机科学和编程业余,信息系统业余的学生也心愿理解 DevSecOps 更多内容,”他说,“在 DevOps 课程中间接集成平安教育,将为将来的 DevSecOps 人才需求做好筹备。”
预测三 AI/ML 将贯通 SDLC
“AI 将成为进步生产力的要害。”Kramer 说到,“比方,DevOps 团队能够集成 AI/ML,用于主动执行那些反复且艰难的工作。现实状况下,能够通过打消认知累赘来加重开发人员的压力,缩小上下文切换次数,最终让开发人员可能聚焦在外围业务研发上。”
依据 GitLab 2022 年 DevSecOps 调研显示,62% 的受访者示意正在实际 ModelOps,51% 的受访者正在应用 AI/ML 来查看代码。
“将数字化转型和业务剖析与 AI 相结合,能力让数字化转型真正产生。”社区项目经理 Christina Hupy 说道,“随着输出更多数据,企业能够得出实在洞察,并应用 AI 来不断改进零碎。”
DeSanto 批准这个观点,并预测 AI 辅助工作流将在软件开发中遍及。“AI/ML 将进一步助力研发减速、平安修复和进步自动化测试以及可观测性。”他说道。
数据迷信产品经理 Taylor McCaslin 示意,随着 AI/ML 在整个 SDLC 中应用,组织须要更加关注隐衷问题、爱护知识产权 (例如 AI 生成的代码所有权) 以及训练数据集和算法相干许可许。
同时,他示意要放慢开发 MLOps 和 DataOps,利用 ML 和 AI 帮忙开发人员治理、保护和迭代软件系统。”(GitLab 正投入于对 ModelOps 的钻研,以让 GitLab 可能更好的反对数据迷信方面的软件开发。)
预测四 价值流剖析将在组织中施展更大作用
往年要推动数字化转型的组织,须要对价值流有更深入研究。“价值流剖析将拓宽过来的开发工作流程,以更全面地理解组织向其用户(外部和内部)提供的价值。”DeSanto 说道。
治理团队在寻求一些数据指标——通过这些指标,可能深入分析数字化转型和技术投资如何发明价值,推动业务成绩。绝对于以往仅关注开发效率而言,这是一个重要转变。
2022 年寰球 DevSecOps 调研报告指出,75% 的受访者示意他们要么曾经在应用一体化 DevOps 平台,要么打算在年内迁徙到一体化 DevOps 平台,驱动这一口头的起因之一就是对价值流剖析和可观测性的需要。
预测五 可观测性将左移,以实现高效的 DevSecOps
高级开发者布道师 Michael Friedrich 称,可观测性将在 SDLC 中进一步左移,“可观测性驱动的研发,将使每个人都变得更加高效和更具创新力。”
eBPF 等新的可观测性技术,将帮忙开发者进行自动化代码检测,而非通过手动检测,减少额定的工作累赘。而且,eBPF 将更好地撑持云原生环境中的可观测性和平安工作流的落地。
可观测性将在进步 DevSecOps 工作流效率方面施展重大作用,包含 CI/CD、基础设施老本剖析和趋势预测,以实现更好的容量布局。