在安全性方面 DevOps被遗忘的团队

由于DevOps的动态特性以及他们可以访问的业务“秘密”，安全厂商Cyber​​Ark强调了确保这些团队免受威胁环境影响的重要性。

根据Cyber​​Ark亚太和日本解决方案工程高级总监Jeffrey Kok的说法，将DevOps暴露给元素意味着特权帐户凭据(如SSH密钥，API密钥和其他凭据)在整个IT基础架构中快速增长 - 火灾步伐，给组织带来巨大的安全风险。

该Cyber​​Ark先进威胁景观2018米的亮点是安全75%的被调查者报告了他们的组织没有实施了DevOps的特权帐户的安全解决方案。

当60%的DevOps受访者表示他们将特权帐户或管理密码存储在公司PC或笔记本电脑上的文档中时，这可能会出现问题。

52%的DevOps受访者表示他们依赖其云或DevOps供应商的本机机密功能进行保护。

“这可能是一种冒险的方法，因为它会产生单独的安全孤岛，难以通过整体安全策略进行管理，” 报告称。

由于受访者能够提供多个答案，50%的受访者表示他们采用付费秘密解决方案; 37%的受访者表示他们使用的是采用开源软件构建的系统。

“大多数时候，当应用程序上线时，安全人员会被带进来，”Kok告诉ZDNet。

43%的受访者确认安全团队总是在每个开发周期结束时被引入，Cyber​​Ark指出，只有当sprint的平均长度大约一周左右时，这可能就足够了。

虽然Kok表示组织将安全人才更早地引入开发过程似乎“有点令人生畏”，但一旦这个概念被接受，他说，最终结果是更好的用户体验。

“这是关键差距之一，”他解释道。

最有效的业务策略将要求安全性和DevOps密切合作，这就是为什么Kok提出“SecOps”的想法 - 应用程序的设计与操作，但也考虑到安全性。

“安全设计，”科克重申道。“最有效的策略将要求安全性和DevOps从一开始就在整个开发，测试和部署中紧密合作。”

该报告称，由于DevOps是一门相对较新的学科，因此受访者表示DevOps与安全团队之间缺乏集成并不奇怪。

Cyber​​Ark表示，虽然合作因行业而异，但发现DevOps与安全性之间的密切合作最常见于消费者服务，技术和电信领域。金融服务组织的合作报告略低于平均水平，只有16%的医疗保健受访者表示他们的安全性和DevOps团队“整合得很好”。

“今天，当所有东西都在云上，并且你有很多自动化工具时，DevOps可以使用5到20个工具，所有这些工具都包含秘密......只有一个会打破整个链条，”他解释道。“我们的想法是没有'安全岛'。

“如果DevOps可以将两个团队聚集在一起，那么为什么不能让SecOps再加上一个团队。”

尽管Kok主要关注APJ地区，但他表示报告中提出的问题涵盖了全球的DevOps团队。

然而，由于APJ地区稍晚于DevOps游戏，因此该地区更需要从其他人的错误中吸取教训。

他说：“事后我们可以避免陷阱。”

Kok表示，该报告是在很多似曾相识的情况下委托的，Cyber​​Ark正在与客户一起关注其组织秘密的安全性。

该调查由市场研究公司Vanson Bourne于2017年9月和10月代表Cyber​​Ark进行，共有来自7个国家的1,000多名IT安全决策者，DevOps，应用程序开发人员和业务线所有者对他们公司的实践进行了调查。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！