<p>随着公司更快地迭代创新,软件开发质量和应用程序安全性已成为关注的重点。开发、安全和运营团队(或 DevSecOps 团队)需要确保其程序与当代云环境兼容,以便在软件开发周期(SDLC)期间实现速度和质量之间的平衡。</p><p>到 2022 年,由于多项技术进步,DevSecOps 方法可能会更普及。DevSecOps将支持团队将安全性和合规性纳入工作流程,同时不会降低团队创造力或因为时间紧迫而增加额外的工作量。</p><h3><font color="#c24f4a">DevSecOps 技术趋势</font></h3><p><b>基础设施即代码的广泛使用(IaC)</b></p><p>IaC 不使用硬件,而是编纂和管理 IT 基础结构。 开发人员和运营团队可以使用软件代码自动管理、监控和部署 IT 资源,从而脱离手动配置设备。到 2023 年,60%的企业将使用基础设施自动化技术作为DevOps工具链的组成部分,使应用程序部署的有效性提高25%。</p><p><b>来自第三方不安全代码的攻击增加</b></p><p>随着网络攻击变得越来越频繁,组织可能会通过将外部代码或代码库集成到其软件中而暴露缺陷。因此,从安全角度来看,企业需要仔细评估第三方代码的缺陷,包括漏洞和bug。</p><p><b>GitOps 采用</b></p><p>通过使用开源版本控制系统Git, GitOps为管理基础设施和应用程序配置提供了一个过程框架。Git是唯一可靠的信息来源,也是动态添加、修改和删除系统设计的主要控制机制。GitOps 确保了基础设施即代码。</p><p><b>Kubernetes 基础设施</b></p><p>Kubernetes统筹容器的部署、可扩展性和管理。采用Kubernetes可以显著提高效率,使DevSecOps管道更容易创建、测试和部署。</p><p><b>无服务器体系结构</b></p><p>无服务器计算使企业能够根据需要使用资源。企业可以通过提供云提供商对其基础设施的控制来按需扩大规模,仅对组织使用的资源收费。无服务器计算增强了灾难恢复和 IT 系统的弹性,因为云提供商托管了基础架构。</p><p><b>微服务应用开发</b></p><p>通过将服务分解为模块化组件,组织可以从更灵活、增量的开发中获益,以满足业务单元的需求。微服务还使开发人员能够在不影响整个应用程序的情况下解决问题。由于这种类型的模块化应用程序开发,DevSecOps团队可以保持其灵活性和敏捷性,同时关注其代码的安全性和质量。</p><h3><font color="#c24f4a">DevSecOps的市场数据</font></h3><p>在2017年至2023年期间,全球DevSecOps市场预计将以33.7%的复合年增长率增长。</p><p>根据预测,DevSecOps市场将从2022年到2030年以30.76%的复合年增长率增长,达到46.6亿美元。</p><p>DevOps 团队执行的安全扫描比以往任何时候都多:超过一半的团队执行 SAST( <a href="https://www.woocoom.com/" target="_blank"><font color="#c24f4a">静态应用安全测试</font></a>)扫描,44% 执行 DAST(动态应用安全测试) 扫描,近50%检查容器和依赖项。据70%的安全人员称,安全已经“左移”。</p><p><!--StartFragment--> <!--EndFragment--></p><p>DevSecOps 通过将所需的安全性集成到 CI/CD 管道中,确保在整个开发过程中实施安全控制。</p>