本文起源:about.gitlab.com
作者:Sandra Gittlen
译者:极狐(GitLab) 市场部内容团队

2023 年,企业会将更多的工夫和资源投入到继续的平安左移上,实现从 DevOps 到 DevSecOps 的演变。 

GitLab CMSO Ashley Kramer 示意,每一个公司都须要将平安严密集成到 DevOps 中,以应答整个软件开发生命周期中一直减少的威逼。此外,DevSecOps 团队须要继续关注供应链平安,充分利用 AI 和 ML,并进一步应用价值流剖析。

下文内容整顿自 GitLab 多位部门负责人的分享,他们预测了2023年 DevSecOps 五大发展趋势。

预测一 爱护供应链平安将是最高优先级

首席产品官 David DeSanto 示意,平安仍旧是整个组织的责任,将进一步 “左移”,并从集成开发环境(IDE)扩大到生产环境

GitLab 2022 年寰球 DevSecOps 调研报告提到,57 % 的平安团队示意他们的组织曾经在施行或打算在 2023 年施行平安左移;一半的平安专家示意开发者未能辨认的安全漏洞高达 75%。

平安左移的起因之一是增强软件供应链平安。“随着近程开发变得越来越广泛,软件供应链平安将在软件开发生命周期中施展更宽泛的作用。” DeSanto 说道。

寰球 Field CISO Francis Ofungwu 预测,软件供应链平安将朝着以下三个方向倒退

  • 一线工程师将在日常运维中承当更多的威逼治理职责。为了实现这一工作,开发人员须要在软件开发生命周期的每个阶段,实时理解破绽状况和修复策略,降低生产环境中产生重大事件的可能性。
  • 平安和合规团队将把软件平安保障策略融入代码,防止因耗时的手动平安审查,连累开发速度。
  • 一些引人瞩目的安全事件进一步凸显了软件开发危险。组织将建设审计流程,更好地评估和报告 SDLC 危险。这就要求组织设计好如何交付工件,以证实其开发工具链各方面部署的控件具备不变性。

“多年来,在软件供应链平安方面,诞生了许多最佳实际。这些实际的做法和成绩,正在成为监管的参考,列入监管条例和准则。” 平安合规经理 Corey Oas 说道。他指出工件证实和软件物料清单 (SBOM) 生成,很快将成为政府或行业强制执行的最佳实际示例,这两者都是开发流程中不可或缺的局部。

产品组治理经理 Sam White 重申了 SBOM 和工件证实预测,称 DevSecOps 团队须要继续关注 SBOM 和证实。“我期待看到这样一个转变:从把 SBOM 和工件证实视为一次性事件,变为将它们视为继续评估过程的一部分。” 他说,“另外,组织须要更深刻理解软件依赖(如开源软件包)和集中化构建信息。”

软件供应链平安的另外一个因素就是零信赖。“企业组织关注零信赖曾经有一段时间了,这将是将来的施行重点,” GitLab 联席 CTO Joel Krooswyk 示意,“至多在联邦机构及其供应商中,这一改革的起因之一是国防部最近公布了零信赖架构策略和路线图,并将零信赖准则纳入美国国家标准与技术研究院局部出版物,例如 800-207。”

扩大浏览:在中国,一系列推动零信赖落地的政策也接连公布,如工信部公布《对于促成网络安全产业倒退的领导意见》和《网络安全产业高质量倒退三年行动计划(2021-2023 年)》,都明确提出反对倒退零信赖平安,并将多个零信赖我的项目列入试点示范我的项目,全力打造牢固的平安防护能力。

更多对于预测内容,能够关注 webcast [2022 回顾 & 2023 网络安全预测 & GitLab 零信赖]

预测二 平安将深刻 DevOps 教育

为了减速 DevOps 演进到 DevSecOps ,须要将平安视为 DevOps 培训和教育课程的重要局部,White 示意,并且组织必须提供培训,让开发人员取得根本平安常识,包含辨认各种破绽的重要性与解决之道。

教育布道师 Pj Metz 认为, 2023 年将是 “平安左移准则呈现在大学课堂上” 的元年

“GitLab 教育团队曾经收到了越来越多对于 DevSecOps 的教育申请,不仅仅是计算机科学和编程业余,信息系统业余的学生也心愿理解 DevSecOps 更多内容,” 他说,“在 DevOps 课程中间接集成平安教育,将为将来的 DevSecOps 人才需求做好筹备。”

预测三 AI/ML 将贯通 SDLC

AI 将成为进步生产力的要害。” Kramer 说到,“比方,DevOps 团队能够集成 AI/ML ,用于主动执行那些反复且艰难的工作。现实状况下,能够通过打消认知累赘来加重开发人员的压力,缩小上下文切换次数,最终让开发人员可能聚焦在外围业务研发上。”

依据 GitLab 2022 年 DevSecOps 调研显示,62% 的受访者示意正在实际 ModelOps,51% 的受访者正在应用 AI/ML 来查看代码。

将数字化转型和业务剖析与 AI 相结合,能力让数字化转型真正产生。” 社区项目经理 Christina Hupy 说道,“随着输出更多数据,企业能够得出实在洞察,并应用 AI 来不断改进零碎。”

DeSanto 批准这个观点,并预测 AI 辅助工作流将在软件开发中遍及。“AI/ML 将进一步助力研发减速、平安修复和进步自动化测试以及可观测性。”他说道。

数据迷信产品经理 Taylor McCaslin 示意,随着 AI/ML 在整个 SDLC 中应用,组织须要更加关注隐衷问题、爱护知识产权(例如 AI 生成的代码所有权)以及训练数据集和算法相干许可许

同时,他示意要放慢开发 MLOps 和 DataOps,利用 ML 和 AI 帮忙开发人员治理、保护和迭代软件系统。”(GitLab 正投入于对 ModelOps 的钻研,以让 GitLab 可能更好的反对数据迷信方面的软件开发。)

预测四 价值流剖析将在组织中施展更大作用

往年要推动数字化转型的组织,须要对价值流有更深入研究。“价值流剖析将拓宽过来的开发工作流程,以更全面地理解组织向其用户(外部和内部)提供的价值。” DeSanto 说道。

治理团队在寻求一些数据指标——通过这些指标,可能深入分析数字化转型和技术投资如何发明价值,推动业务成绩。绝对于以往仅关注开发效率而言,这是一个重要转变。

2022 年寰球 DevSecOps 调研报告指出,75% 的受访者示意他们要么曾经在应用一体化 DevOps 平台,要么打算在年内迁徙到一体化 DevOps 平台,驱动这一口头的起因之一就是对价值流剖析和可观测性的需要。

预测五 可观测性将左移,以实现高效的DevSecOps

高级开发者布道师 Michael Friedrich 称,可观测性将在 SDLC 中进一步左移,“可观测性驱动的研发,将使每个人都变得更加高效和更具创新力。”

eBPF 等新的可观测性技术,将帮忙开发者进行自动化代码检测,而非通过手动检测,减少额定的工作累赘。而且,eBPF 将更好地撑持云原生环境中的可观测性和平安工作流的落地。

可观测性将在进步 DevSecOps 工作流效率方面施展重大作用,包含 CI/CD、基础设施老本剖析和趋势预测,以实现更好的容量布局。