این چیز خوبیه. چیزی به اندازه خود DevOps – رویکردی که Forrester آن را به عنوان رویکردی توصیف می کند که “به طور مداوم زمان ورود به بازار را کاهش می دهد، چابکی شرکت را افزایش می دهد و مشاغل را انعطاف پذیرتر می کند”.
با تکنولوژی و امنیت توانمند شده است
ارزش مصالحه را هم ندارد. گزارش سالانه آژانس امنیت سایبری اروپا (ENISA) از چشم انداز تهدید در سال 2022، نگرانی هایی را که سازمان ها و تیم های DevOps در مورد خطرات امنیتی به اشتراک می گذارند، تقویت کرد. این گزارش هشت دسته تهدید اصلی را در باجافزار، بدافزار، مهندسی اجتماعی، تهدید علیه دادهها، انکار سرویس (DDoS)، تهدیدات اینترنتی، اطلاعات نادرست و حملات زنجیره تامین شناسایی کرده است. همچنین تاکید کرد که چگونه انکار سرویس، سوء استفادههای روز صفر و فیشینگ هم در موارد پیچیده و هم در موارد استفاده رشد کردهاند.
او میگوید: «تهدیدهای امنیتی با چنان سرعتی در حال پیشرفت هستند که سازمانها باید چابکی شدیدی را در عملیات و فرآیندهای توسعهشان تعبیه کنند تا از امنیت خود ادامه دهند.» «توسعهدهندگان باید بیشتر از گنجاندن امنیت در سیستمهای خود، امنیت را در بهترین شیوهها و فرآیندهای خود بپذیرند. این رویکرد DevOps را به سمت امنیت، دور از ذهنیت «پر کردن شکافها در پایان» و به سمت یک رویکرد قویتر و انعطافپذیرتر حرکت میدهد.»
مورد دوم به فیشینگ نیزه ای، صید نهنگ، کوبیدن و ویشینگ تبدیل شده است، در حالی که حملات DDoS در مقیاس بزرگتر پیچیده تر شده اند. نظرسنجی ESG نشان داد که 38 درصد از سازمانها به دلیل استفاده ناامن از APIها دادههای خود را از دست دادهاند و 37 درصد به دلیل آسیبپذیریهای کد داخلی دچار سوءاستفاده شدهاند. این به 35٪ با خدمات به خطر افتاده به دلیل اعتبار حساب، و 34٪ که سیستم آنها به دلیل آسیب پذیری در نرم افزار منبع باز مورد سوء استفاده قرار گرفته است، می افزاید. این لیست ادامه دارد – واقعیت این است که امنیت یک اولویت ثابت و پایدار باقی می ماند.
Mbonambi میگوید: «این خطر وجود دارد که با ایجاد امنیت در فضای توسعه، شرکتها احساس کنند که با ترکیب این دو در هزینهها صرفهجویی میکنند، بدون اینکه به تیمهای توسعه زمان یا منابع لازم برای اجرای مؤثر هر دو نقش بدهند.» این امر به طور بالقوه می تواند راه حل ها و کسب و کار را در معرض خطر بیشتری قرار دهد، زیرا نه توسعه و نه امنیت به جزئیات مورد نیاز توجه نمی شود. سرعت ورود به بازار یک فشار بسیار واقعی است و تیم ها می توانند در نهایت سازش کنند در حالی که اصلاً نباید مصالحه ای وجود داشته باشد.

ادغام، ادغام، ادغام
شماره 8 2022 زیرساخت فناوری اطلاعات
همچنین به همین دلیل است که این شرکت تحقیقاتی معتقد است که یکی از زمینههای کلیدی که DevOps در آن پیشرفت خواهد کرد، تکامل شیوهها است. جایگزینی فرآیندها باعث میشود که پرسنل امنیتی و ریسک به سمت چپ جابجا شوند و در ابتدا به پروژهها بپیوندند، نه اینکه در وسط یا انتهای کار قرار بگیرند. این دیدگاهی است که Mandla Mbonambi، مدیر عامل Africonology نیز به اشتراک گذاشته است و معتقد است که تغییر به چپ برای موفقیت یک پروژه DevOps به اندازه تخصص و قابلیت های خود تیم ها مهم و ضروری شده است.
زمان آن فرا رسیده است که رویکردی مبتنی بر امنیت برای DevOps اتخاذ کنیم، رویکردی که زنگها و سوتهای هشدار امنیتی را بدون اصطکاک و پیچیدگیهای سنتی با استعداد و سرعت توسعه یکپارچه میکند. یک نظرسنجی انجام شده توسط ESG نشان داد که 68٪ از پاسخ دهندگان به دنبال راه حل های امنیتی متمرکز بر توسعه دهندگان و انتقال امنیت به توسعه دهندگان هستند.
Mbonambi نتیجه میگیرد: «در نهایت، وقتی صحبت از امنیت در DevOps یا توسعه در امنیت میشود، نباید معاملهای وجود داشته باشد. “بهترین پشتیبانی ممکن را در هر نقطه ای از تیم های خود ارائه دهید، خواه امنیت، عملیات یا توسعه، و اطمینان حاصل کنید که آنها منابع و زمان مورد نیاز برای طراحی راه حل های مقاوم و ایمن را دارند. این نه تنها سطحی از استحکام را در کسب و کار و خدمات شما تعبیه می کند، بلکه در دراز مدت باعث صرفه جویی در هزینه و زمان شما می شود. استفاده از یک ارائه دهنده خدمات شخص ثالث برون سپاری را در نظر بگیرید تا تیم های خود را تقویت کنید و اطمینان حاصل کنید که ضرب الاجل ها بدون مصالحه رعایت می شوند.”
منبع: https://www.securitysa.com/18178R
فارستر معتقد است که این تغییر ذهنیت و استراتژی می تواند اساساً موفقیت یک سازمان را در آینده تعیین کند. این شرکت میگوید که شرکتهایی با عملکرد بالا شرکتهایی هستند که مدیریت تغییر مبتنی بر کد را با قدرت فناوری و امنیت اجرا میکنند و امنیت و توسعه را در یک ردیف قرار میدهند. این یک ایده آل غیر واقعی نیز نیست. نظرسنجی ESG نشان داد که اکثر تیمهای امنیتی با توسعهدهندگانی که آزمایشهای امنیتی را انجام میدهند راحت هستند، و بزرگترین نگرانی این است که این امر میتواند فشار بیرویه بر تیمهای توسعه وارد کند.