安全性必须是软件交付周期的一部分

发布于:2021-01-07 10:32:03

0

160

0

安全性 软件交付 DevOps

Puppet的DevOps状况:行业报告卡对从金融到零售的不同行业进行了评估,评估了他们将安全性集成到DevOps实践中的程度以及DevOps的成熟度。该报告揭示了一些交易技巧。了解不同行业所面临的挑战以及每个行业的优势,找出最成功的公司的共同点。

在对来自全球的近3,000名技术人员进行了调查之后,Puppet发布了《 DevOps状态:行业报告卡》中的调查结果。该调查研究了不同行业在DevOps成熟度和安全性集成方面的评价。

该调查的主要发现之一是,安全集成对软件交付周期和漏洞修复的影响有多大。当然,转换并不容易,并且安全集成可以分为一系列级别。达到更高级别的安全性需要时间和金钱,会中断工作流程,并且在某些行业中,挑战已经存在数十年的实践。

Puppet社区和开发人员关系高级总监Alanna Brown说:将安全性集成到您的DevOps实践中可能会充满挑战,但事实证明,如果正确完成,会有所收获。安全不应该是事后的想法。在软件交付生命周期的每个阶段,团队之间必须共同承担责任。

这项研究检查了以下行业:金融服务和保险,政府,零售,科技和电信。每个行业的表现如何,哪些行业获得评分?

金融机构的评级很苛刻

根据调查,在将安全性集成到DevOps实践中时,金融服务最差。原因之一是许多金融机构已经存在了数十年,因此很难进行破产。开发人员也可能会处理大量纠结的技术债务和遗留代码库。

来自金融机构的大多数受访者(67%)同意他们的安全团队可以防止计划外的工作,只要将其包括在内即可。金融机构还报告说,交付团队中缺乏安全专家。

金融服务业面临的困境告诉我们,应高度重视安全专家和自动化。

零售按时部署

在某些情况下,零售业在人群中脱颖而出。它们是解决关键漏洞最快的方法。不到一天的时间就纠正了53%的关键安全漏洞。零售还具有按需部署的高能力。

许多零售公司都认为自己在DevOps旅程中处于较高水平。

尽管如此,零售也因违反安全性而臭名昭著。调查显示,零售业在开发的后期阶段不太可能集成安全性,因此需要进行更好的安全性测试实践。

领先的DevOps领导

毫不奇怪,在诸如持续交付,DevOps成熟以及将安全性集成到软件交付周期等实践方面,技术行业的得分最高。但是,在容器映像部署和测试方面,零售业的得分要高于技术行业。

与其他行业相比,科技公司拥有更高程度的领导支持。28%的科技公司报告说,领导力始终支持DevOps实践。

成功的公司有什么共同点?

尤其是绩效较高的公司,在计划外工作上花费的时间更少。计划外的工作范围包括紧急软件部署,补丁程序和返工修补程序。因为他们花了更少的时间来扑灭紧急情况,所以他们有更多的时间来开发新功能。连续的交付周期和自动化是减少计划外工作的方法。

将安全视为共同的责任是成功的另一个关键。尤其是高科技公司,平均而言,将安全视为影响所有团队的关注点,而不仅仅是安全团队。