Akamai 2020年預測:開發人員將成為安全流程的重中之重
當前,由于互聯網尤其是移動互聯網正在迅速改變企業的業務模式,中國的企業機構正在加速轉型成為數字化企業。但新興的業務模式和快速發展的服務需求給IT基礎設施的發展帶來了一些挑戰。為了有效響應市場變化和用戶需求,領先的企業機構已經開始探索使用開發運維(DevOps)概念和模型來實現快速系統交付和新的迭代。根據中國信息通信研究院最近做的一項調查[1],DevOps已被互聯網、金融服務和制造等行業普遍采用,為中國IT產業帶來巨變。
盡管DevOps確實能夠通過快速迭代和開發為企業機構的業務帶來諸多優勢,但它也為負責支持此類項目安全開發的安全和風險管理的企業高管帶來了挑戰。這是因為部分應用受到隱私和訪問、國家法規及強制監管等方面的限制。因此,企業機構現在應該將注意力集中在成本管理和安全上。我們預測,企業機構在2020年將發揮創新力,朝著更智能、更簡單、更安全且更注重成本的DevOps計劃邁進。
開發、安全及運維(DevSecOps)將成為現實。
DevOps試圖通過在那些曾是“孤島式”的企業機構中建立信任和利益共享文化,來彌合開發和運維之間的鴻溝。但是,如果不結合安全,那么這種愿景是不完整的。安全是IT領域中的另一座孤島。開發、安全及運維中的通信和流程故障是絕大多數關鍵系統停機的根本原因,其中包括因安全漏洞而導致的停機。同時,網絡攻擊的頻率、復雜性和影響力正在增加,技術高超的攻擊者利用安全風險滲入企業基礎設施,并通過數據泄露給企業造成數百萬美元的損失。從2018年1月到2019年6月,Akamai記錄了超過610億次撞庫攻擊,并且此類攻擊的自動化程度極高[2]。為了平衡敏捷開發與降低風險,企業機構正在考慮將DevOps與云原生安全原則相結合的DevSecOps策略。Gartner預測,到2021年,DevSecOps將被80%的快速開發團隊采用,而2017年的這一比例僅為15%[3]。
更重要的是,許多國家已經意識到數據保護和隱私的問題,并且越來越重視諸如中國的《網絡安全法》、《歐盟支付服務修訂法案(第二版)》(PSD2)和《通用數據保護條例》(GDPR)等數據隱私法規。因此,大量采用DevOps的企業機構在明年將不得不把安全措施工作的優先級別放在產品上市之前。隨著新法規的實施,更多的應用開發人員將被強制要求直接在代碼內構建嚴格的安全策略。因此,那些能夠滿足信息安全團隊內合規相關任務需求的DevOps工具將小幅增加,從而將安全和合規措施納入日常的持續集成(CI)工作流程。
隨著經濟變得更加不穩定,企業機構希望能夠大規模驗證和優化其DevOps工具提供的價值。
許多市場專家預測,在未來12到24個月里,經濟將出現大規模衰退或蕭條,這意味著各地的企業機構都將想方設法在保持產能的同時削減成本,從而渡過難關。過去的幾年中,企業機構內部的云優先和數字化轉型計劃通常在獲取預算上“一路綠燈、暢通無阻”,而同時,隨著DevOps工具的成熟,實現以上這些計劃的工具也在不斷演進、被大規模使用且成本日漸昂貴。2020年,企業機構將重點關注成本結構,并希望采用DevOps工具來獲得同樣價值并最大程度地降低成本。
專注于端到端生命周期管理將簡化DevOps工作流程的復雜性。
隨著微服務及持續集成和交付(CI/CD)工具鏈的出現,人們開始著重于開發和利用許多不同的工具來解決分布在相似并行工作流程中的小任務。例如,一家企業機構中的兩個不同的團隊通常擁有各自的持續集成和交付(CI/CD)管道,這些管道包含許多不同的工具,從而滿足版本控制、構建自動化、監視分析、早期測試、代碼審查流程等需求。盡管企業機構已經受益于定制化工作流程,但這也導致在分散工作的團隊中出現嚴重的工具泛濫,降低工作效率。DevOps供應商常常需要負責確保兼容其他供應商的工具。2020年,工具的數量將繼續增加,但工具將會趨向于能夠簡化工具和工作流程的端到端生命周期管理和單個應用,最終將提高軟件的開發速度和敏捷度。
企業機構將越來越多地采用分析工具使DevOps“更智能”。
如今,成熟的DevOps企業機構即將實現整個工作流程效率收益的最大化。由于這些企業機構希望加快發展速度并提高生產效率,數據科學、人工智能和自動分析工具將被更加緊密地集成到工作流程中,從而提高效率和縮短產品上市時間。開發人員將使用數據科學工具,通過歷史數據和存儲庫日志、測試結果、基礎設施工作量等方面的遙測技術來獲得更好的項目應用結果。這些技術加上更智能的警報和事件驅動型觸發器將推動工作流程不斷集成,從而帶來新一輪生產效率驅動的成功。
隨著DevOps工具的成熟,企業機構的重心已開始轉向這些工具所增加的復雜性和成本,以及所減少的增量收益。此外,企業機構在開發過程中不會停止對安全的關注。它們必須保護整個DevOps生命周期,包括在將新的服務部署到正常運維中時也是一樣。與開發一樣,安全正在成為一個不斷交付、學習和改進的過程。通過集成安全命令、更先進的智能預測以及更簡單的管理,可以確保DevOps工具繼續擴大其所具有的巨大優勢。
鑒于此,Akamai對其智能邊緣平臺進行了改造,使其能夠比之前更加輕松地無縫集成到持續集成和交付(CI/CD)工作流程和DevOps工具中,從而確保網站和移動應用程序提供滿足用戶期望的體驗。用戶的體驗將是穩定可靠的,不會察覺到任何微小的干擾。更重要的是,他們確信自己的數據受到保護且是安全的。
關于作者
Sid擔任Akamai的高級產品經理,致力于為開發人員群體帶來美好的體驗,并使Akamai成為用戶持續集成工作流程中的重要組成部分,也成為滿足客戶任何API流量需求的必選平臺。作為產品經理,Sid對了解事物背后的原因深感興趣,并依據客戶案例和數據作出決策。在加入Akamai前,Sid為多家技術企業提供優化開發生命周期方面的咨詢服務。Sid擁有美國德克薩斯大學達拉斯分校計算機科學學位和杜克大學工商管理碩士學位。
[1]http://news.idcquan.com/news/165560.shtml
[2]https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/soti-security-media-under-assault-report-2019.pdf
[3]https://technology-signals.com/wp-content/uploads/download-manager-files/RedGate_Compliant_Database_DevOps.pdf
