懸鏡安全 & Freebuf 榮耀發(fā)布《2020 DevSecOps行業(yè)洞察報(bào)告》
12月29—12月30日,CIS 2020網(wǎng)絡(luò)安全創(chuàng)新大會(huì)在上海成功舉辦,本次大會(huì)由FreeBuf、賽博研究院、上海市信息安全行業(yè)協(xié)會(huì)聯(lián)合主辦。懸鏡安全聯(lián)合Freebuf咨詢?cè)诖髸?huì)“DevSecOps實(shí)踐與技術(shù)專場(chǎng)”榮耀發(fā)布《2020 DevSecOps行業(yè)洞察報(bào)告》。
Freebuf咨詢負(fù)責(zé)人尤文、懸鏡安全創(chuàng)始人兼CEO子芽、懸鏡安全COO董毅出席了報(bào)告發(fā)布儀式。
會(huì)上,懸鏡安全COO董毅對(duì)該報(bào)告進(jìn)行了深度解讀。今年的RSA Conference于2月24-28日在美國舊金山如期召開, 會(huì)議主題為“Human Element”,人為因素被認(rèn)為是影響未來網(wǎng)絡(luò)安全發(fā)展最深遠(yuǎn)的主題。會(huì)議期間,官方還基于參會(huì)人員的關(guān)注熱度,發(fā)布了 2020 年網(wǎng)絡(luò)安全行業(yè)十大趨勢(shì),DevSecOps 再次成為大家關(guān)注的焦點(diǎn)之一。其中,有著“全球網(wǎng)絡(luò)安全風(fēng)向標(biāo)”之稱的 RSA 創(chuàng)新沙盒,進(jìn)入十強(qiáng)的安全廠商中近半數(shù)聚焦在應(yīng)用安全領(lǐng)域,BluBracket 和 ForAllSecure 等就是今年 DevSecOps 領(lǐng)域的創(chuàng)新廠商代表,Comcast、US DoD 及 NIWC 等機(jī)構(gòu)的 DevSecOps 落地應(yīng)用也逐漸成為行業(yè)實(shí)踐典范。
雖然國內(nèi)的金融、能源、互聯(lián)網(wǎng)等產(chǎn)業(yè)用戶沒有像美國一些頭部機(jī)構(gòu)那樣做 DevSecOps 的深度轉(zhuǎn)型,大部分還是現(xiàn)有的 SDL 體系,但這并不妨礙我們開始積極擁抱 DevSecOps 框架及 CI/CD黃金管道涉及的敏捷安全活動(dòng)。正是這些關(guān)鍵活動(dòng)涉及的新興技術(shù)的逐漸成熟和敏捷安全新理念的普及,推動(dòng)了國內(nèi) DevSecOps 體系的逐漸落地,關(guān)鍵標(biāo)志之一就是持續(xù)專注 DevSecOps 的創(chuàng)新安全廠商開始涌現(xiàn),我們的通用技術(shù)方案開始被越來越多的行業(yè)頭部用戶采納,并分階段持續(xù)為行業(yè)用戶建立起逐漸完善的安全開發(fā)運(yùn)營(yíng)體系。懸鏡安全聯(lián)合 Freebuf 咨詢?cè)趪鴥?nèi)發(fā)布首個(gè) DevSecOps 行業(yè)洞察報(bào)告,希望從行業(yè)用戶、廠商力量及安全媒體等綜合視角觀察并分析 DevSecOps 在國內(nèi)的發(fā)展現(xiàn)狀。
報(bào)告上篇對(duì)DevSecOps 實(shí)踐情況進(jìn)行了一定調(diào)查,通過問卷調(diào)查、資料收集、交流訪談及技術(shù)沙龍等形式開展相關(guān)調(diào)查工作,對(duì)千余名不同 IT 背景的專業(yè)人員進(jìn)行了調(diào)研,通過他們的聲音和真實(shí)反饋,表明了 DevSecOps 正逐漸被應(yīng)用開發(fā)團(tuán)隊(duì)認(rèn)可并加速實(shí)踐,部分領(lǐng)先機(jī)構(gòu)的應(yīng)用安全工作在軟件開發(fā)生命周期的早期就已經(jīng)實(shí)現(xiàn)高度自動(dòng)化。
報(bào)告下篇描繪了不同行業(yè)的 DevSecOps 實(shí)踐現(xiàn)狀,梳理了當(dāng)前發(fā)展熱點(diǎn)技術(shù),并對(duì)未來發(fā)展趨勢(shì)做了展望。這部分內(nèi)容主要依賴于同行業(yè)專家的溝通與座談,并融合了我們?cè)谛袠I(yè)中觀察到的具體現(xiàn)象、發(fā)展趨勢(shì)和應(yīng)用案例。擁抱變化是敏捷安全建設(shè)的基石。我們希望通過本報(bào)告的調(diào)查及分析,能夠推動(dòng)更多行業(yè)用戶結(jié)合自身業(yè)務(wù)特點(diǎn),嘗試了解、對(duì)比學(xué)習(xí)甚至著手采納業(yè)內(nèi)領(lǐng)先的 DevSecOps 敏捷安全體系及落地實(shí)踐經(jīng)驗(yàn),從源頭追蹤軟件供應(yīng)鏈在開發(fā)、測(cè)試、部署、運(yùn)營(yíng)等關(guān)鍵環(huán)節(jié)面臨的應(yīng)用安全風(fēng)險(xiǎn)與未知外部威脅,幫助政企組織逐步構(gòu)筑一套適應(yīng)自身業(yè)務(wù)彈性發(fā)展、面向敏捷業(yè)務(wù)交付并引領(lǐng)未來架構(gòu)演進(jìn)的內(nèi)生安全開發(fā)運(yùn)營(yíng)體系。同時(shí),也希望本報(bào)告能夠鼓勵(lì)更多不同類型的技術(shù)力量與 DevSecOps 行業(yè)展開新的對(duì)話,并成為建立新的安全基準(zhǔn)的參考依據(jù)。
掃碼獲取報(bào)告全文
