فارستر معتقد است که این تغییر ذهنیت و استراتژی می تواند اساساً موفقیت یک سازمان را در آینده تعیین کند. این شرکت میگوید که شرکتهایی با عملکرد بالا شرکتهایی هستند که مدیریت تغییر مبتنی بر کد را با قدرت فناوری و امنیت اجرا میکنند و امنیت و توسعه را در یک ردیف قرار میدهند. این یک ایده آل غیر واقعی نیز نیست. نظرسنجی ESG نشان داد که اکثر تیمهای امنیتی با توسعهدهندگانی که آزمایشهای امنیتی را انجام میدهند راحت هستند، و بزرگترین نگرانی این است که این امر میتواند فشار بیرویه بر تیمهای توسعه وارد کند.
با تکنولوژی و امنیت توانمند شده است

ادغام، ادغام، ادغام
شماره 8 2022 زیرساخت فناوری اطلاعات
زمان آن فرا رسیده است که رویکردی مبتنی بر امنیت برای DevOps اتخاذ کنیم، رویکردی که زنگها و سوتهای هشدار امنیتی را بدون اصطکاک و پیچیدگیهای سنتی با استعداد و سرعت توسعه یکپارچه میکند. یک نظرسنجی انجام شده توسط ESG نشان داد که 68٪ از پاسخ دهندگان به دنبال راه حل های امنیتی متمرکز بر توسعه دهندگان و انتقال امنیت به توسعه دهندگان هستند.
او میگوید: «تهدیدهای امنیتی با چنان سرعتی در حال پیشرفت هستند که سازمانها باید چابکی شدیدی را در عملیات و فرآیندهای توسعهشان تعبیه کنند تا از امنیت خود ادامه دهند.» «توسعهدهندگان باید بیشتر از گنجاندن امنیت در سیستمهای خود، امنیت را در بهترین شیوهها و فرآیندهای خود بپذیرند. این رویکرد DevOps را به سمت امنیت، دور از ذهنیت «پر کردن شکافها در پایان» و به سمت یک رویکرد قویتر و انعطافپذیرتر حرکت میدهد.»
مورد دوم به فیشینگ نیزه ای، صید نهنگ، کوبیدن و ویشینگ تبدیل شده است، در حالی که حملات DDoS در مقیاس بزرگتر پیچیده تر شده اند. نظرسنجی ESG نشان داد که 38 درصد از سازمانها به دلیل استفاده ناامن از APIها دادههای خود را از دست دادهاند و 37 درصد به دلیل آسیبپذیریهای کد داخلی دچار سوءاستفاده شدهاند. این به 35٪ با خدمات به خطر افتاده به دلیل اعتبار حساب، و 34٪ که سیستم آنها به دلیل آسیب پذیری در نرم افزار منبع باز مورد سوء استفاده قرار گرفته است، می افزاید. این لیست ادامه دارد – واقعیت این است که امنیت یک اولویت ثابت و پایدار باقی می ماند.
ارزش مصالحه را هم ندارد. گزارش سالانه آژانس امنیت سایبری اروپا (ENISA) از چشم انداز تهدید در سال 2022، نگرانی هایی را که سازمان ها و تیم های DevOps در مورد خطرات امنیتی به اشتراک می گذارند، تقویت کرد. این گزارش هشت دسته تهدید اصلی را در باجافزار، بدافزار، مهندسی اجتماعی، تهدید علیه دادهها، انکار سرویس (DDoS)، تهدیدات اینترنتی، اطلاعات نادرست و حملات زنجیره تامین شناسایی کرده است. همچنین تاکید کرد که چگونه انکار سرویس، سوء استفادههای روز صفر و فیشینگ هم در موارد پیچیده و هم در موارد استفاده رشد کردهاند.
این چیز خوبیه. چیزی به اندازه خود DevOps – رویکردی که Forrester آن را به عنوان رویکردی توصیف می کند که “به طور مداوم زمان ورود به بازار را کاهش می دهد، چابکی شرکت را افزایش می دهد و مشاغل را انعطاف پذیرتر می کند”.
همچنین به همین دلیل است که این شرکت تحقیقاتی معتقد است که یکی از زمینههای کلیدی که DevOps در آن پیشرفت خواهد کرد، تکامل شیوهها است. جایگزینی فرآیندها باعث میشود که پرسنل امنیتی و ریسک به سمت چپ جابجا شوند و در ابتدا به پروژهها بپیوندند، نه اینکه در وسط یا انتهای کار قرار بگیرند. این دیدگاهی است که Mandla Mbonambi، مدیر عامل Africonology نیز به اشتراک گذاشته است و معتقد است که تغییر به چپ برای موفقیت یک پروژه DevOps به اندازه تخصص و قابلیت های خود تیم ها مهم و ضروری شده است.
Mbonambi میگوید: «این خطر وجود دارد که با ایجاد امنیت در فضای توسعه، شرکتها احساس کنند که با ترکیب این دو در هزینهها صرفهجویی میکنند، بدون اینکه به تیمهای توسعه زمان یا منابع لازم برای اجرای مؤثر هر دو نقش بدهند.» این امر به طور بالقوه می تواند راه حل ها و کسب و کار را در معرض خطر بیشتری قرار دهد، زیرا نه توسعه و نه امنیت به جزئیات مورد نیاز توجه نمی شود. سرعت ورود به بازار یک فشار بسیار واقعی است و تیم ها می توانند در نهایت سازش کنند در حالی که اصلاً نباید مصالحه ای وجود داشته باشد.
Mbonambi نتیجه میگیرد: «در نهایت، وقتی صحبت از امنیت در DevOps یا توسعه در امنیت میشود، نباید معاملهای وجود داشته باشد. “بهترین پشتیبانی ممکن را در هر نقطه ای از تیم های خود ارائه دهید، خواه امنیت، عملیات یا توسعه، و اطمینان حاصل کنید که آنها منابع و زمان مورد نیاز برای طراحی راه حل های مقاوم و ایمن را دارند. این نه تنها سطحی از استحکام را در کسب و کار و خدمات شما تعبیه می کند، بلکه در دراز مدت باعث صرفه جویی در هزینه و زمان شما می شود. استفاده از یک ارائه دهنده خدمات شخص ثالث برون سپاری را در نظر بگیرید تا تیم های خود را تقویت کنید و اطمینان حاصل کنید که ضرب الاجل ها بدون مصالحه رعایت می شوند.”
منبع: https://www.securitysa.com/18178R