2021年DevSecOps状态报告

Security Compass于2021年2月发布了新报告“The 2021 DevSecOps State”的结果。该研究旨在收集对DevSecOps的不同方法和观点的见解，重点关注安全威胁最严重的大型企业（年收入超过10亿美元）。该研究的重点领域包括对DevSecOps的总体了解和经验，其采用的成熟度，挑战，投入的时间和预算，计划的全面性等等。

研究中发现的DevSecOps程序最重要的驱动力是提高软件的安全性，质量和弹性。将技术更快推向市场是第二重要的驱动力，而降低成本则是最不重要的。该报告还揭示了随着组织在其DevSecOps计划中达到成熟度，对安全性和合规性的看法会如何演变。从首席执行官到一线从业人员的观点，包括介于两者之间的所有层次，在整个报告中都进行了比较和对比。

01 介绍

INTRODUCTION

本报告由Security Compass 委托调查，调查由Golfdale Consulting进行。其中DevSecOps调研，面向250名高管和从业人员，涉及风险和技术功能，调研对象分布在美国US和英国UK。上市时间调研，面向51个C-Suite管理层，调研对象分布在美国US。

仅仅大流行并不能定义2020年。在幕后，数字世界也受到了威胁。企业和政府机构遭受了重大的网络安全攻击，其中最臭名昭著的攻击损害了SolarWinds、Microsoft、VMware及其客户，包括美国政府机构（1）。由于外部威胁的增加，在没有充分准备和保障措施的情况下，需要在一夜之间尽可能在家里工作(work-from-home)，造成了严重的网络安全漏洞。

解决这些威胁的紧迫性来自于数字互联互通的不断发展，这种互联互通渗透到我们生活的各个领域，包括工作场所和个人。通过快速转向基础设施即服务（IaaS）云平台，可以更快、更具可扩展性地创建和部署软件应用程序。在这种加速变化的背景下，伴随着越来越多的敌对攻击，保持“安全”已经成为数字世界和物理世界最关心的问题。网络安全现在是民族国家和企业的优先事项。

与所有在安全和安保方面的努力一样，网络安全从预防开始。在软件开发领域，这导致了DevSecOps的增长，这种方法将安全性作为一个中心点，集成到软件开发和操作/部署中。只有采用这种方法，才能在创建新的软件产品时平衡快速开发和安全性。

为2021年DevSecOps的发展做好准备，Security Compass正在进行一系列深入的量化研究项目。重点放在威胁严重的大型企业(年收入超过10亿美元)，从首席执行官到前线从业者(包括介于两者之间的所有级别)都在收集意见，涵盖软件开发和风险管理职能。这份报告提供了第一组发现中的研究要点。

Security Compass CEO ROHIT SETHI说到：“2020年对于所有人来说都是充满挑战的一年，但它也为DevSecOps团队提供了一个巨大的机会，可以随着组织加速其数字化转型以可扩展的方式应对风险管理。”

02 跟上变化

KEEPING UP WITH CHANGE

我们的研究量化了我们在许多全球企业中看到的东西-IaaS的采用几乎一致，占新软件应用程序开发的一半以上。

在被问到：您是否计划在明年将应用程序部署到IaaS云提供商，例如Amazon Web Service，Microsoft Azure和/或Google Cloud Platform？96%的受访者表示，2021年将向IaaS转型。

明年将向IaaS部署大约多少个应用程序?

50%-74%应用迁移到云上企业占37%
25%-49%应用迁移到云上企业占31%
超过75%应用上云企业比例占22%
低于25%应用上云仅占受访者10%

对高级管理人员和从业人员的调查还量化了我们从业内许多人那里听到的信息–75%的人认为，人工的安全和合规性流程阻碍了将新产品推向市场的能力。

03 采用DevSecOps

ADOPTING DEVSECOPS

为了应对这些和其他挑战，美国和英国的绝大多数企业都在采用DevSecOps进行软件应用程序开发。

受访的美国企业中，77%的企业表示其大多数的应用程序开发采用了DevSecOps，而在英国企业中，这个比例达到了68%。

转换到云服务以进行应用程序开发和部署，带来了越来越多的采用DevSecOps的必要性。

总体来说，74%的企业表示，迁移到云上的应用开发大都采用DevSecOps。

而对于超过75%应用上云的企业，这个比例达到85%。

04 DevSecOps驱动力 THE DRIVERS OF DEVSECOPS

大型企业，从大型金融机构到美国国防部，都面临着有据可查的DevSecOps挑战。他们的环境以其高度的IT复杂性和承受的高安全压力而著称。

鉴于大型复杂企业面临的巨大障碍，我们对它们进行了市场调查。调查结果表明，提高安全性、质量和弹性是DevSecOps计划的首要任务。

如上图所示，对于许多企业来说，采用“设计安全”的方法与其“更快地将技术推向市场”的目标是一致的。

此外，根据DevSecOps成熟度的不同，目标也会有所不同。仍处于规划阶段的大型企业更多地将“更快地将技术推向市场”和“降低成本”作为采用DevSecOps的理由，而不是“提高安全性、质量和/或弹性”。

除了安全威胁，这些目标无疑会促使他们采用DevSecOps。

05 挑战

CHALLENGES

上图清楚地表明了大多数大型企业面临的未实施DevSecOps的缺陷。其中包括缺乏安全编码和设计隐私的指导方针。

实施DevSecOps具有挑战性。先前的研究指出，除了在内部存在成本和文化的阻力，在获得专家、工具和成熟的解决方案方面也遇到了外部的挑战。

目前的研究证实，技术挑战显然是最艰巨的。随着企业在应用DevSecOps时采用更加过度的方法，这些挑战也在增长。相比之下，在规划阶段，“成本”和“技能/人才缺乏”最为艰巨。

06 上市时间

TIME TO MARKET

大约一半的C-Suite高管认为，被动和主动的软件安全流程都会减慢产品上市时间。在这些观点中，比C-Suite更强烈的是，承担“完成工作”任务的绝大多数专业人员都同意或强烈同意安全性和合规性流程减慢了产品上市时间，从而影响了他们的竞争力。风险人员比技术人员更关注这个问题。

DevSecOps人员在被问到具体的上市时间问题时指出，自动化不足是第一大问题，同时还面临技术挑战和组织孤岛。在2021年全面采用云服务的企业中，自动化不足是首要问题。

而对于还未实现DevSecOps的企业来说，首要问题是缺乏工具、技术的挑战及没有足够的专家。

07 自动化

AUTOMATE

自动化备受关注，超过8/10的CXO同意或强烈同意为其分配预算。此外，76%的人认为自动化是2021年的主要优先事项，20%的人认为是中等优先事项。

随着软件产品广度和复杂性的增加，DevSecOps的必要性也随之增加。难怪网络安全自动化是首席执行官、高管和从业者都在考虑的问题。在风险评估和威胁建模等具体任务中，自动化节省的时间显而易见。

随着自动化在云应用中的推广，自动化成为一种必需品。采用DevSecOps方法进行软件开发需要自动化。

08 结论

CONCLUSION

认识到软件产品中发生的许多漏洞都是人为设计错误导致的，因此从一开始就将安全性内嵌到软件开发生命周期中至关重要。同时，安全和风险从业者需要平衡组织快速向用户交付软件的需求。只有通过自动化才能在保持速度的同时，在每个阶段将安全性集成到软件开发中。对于采用这种DevSecOps方法的企业来说，人将成为“解决方案的一部分”，而不是“问题”。

当然，生活在大流行的时代也带来了更多的弊病，包括网络安全威胁的迅速增加。一些人估计，与大流行前相比，网络攻击增加了三到五倍(7)。不幸的是，即使人类病毒最终得到控制，软件面临的威胁仍将有增无减。认识到这一现实，Security Compass采取了一种安全性和合规性方法，该方法从编写的第一行代码开始，然后在整个软件开发生命周期中指导整个过程。与其放慢进程，不如设置适当的护栏，提供培训，并使安全和合规性流程自动化，从而加快而不是阻碍新软件的上市时间。

09 尾注 END NOTES