安全仍然是Devops的事后
据Cyber Ark的最新高级威胁景观报告称,虽然Devops已经更快更容易地推出应用程序,但亚洲的安全往往仍然是亚洲的追求事件。
Cyber Ark发现,Cyber Ark发现,94%的组织采用了Devops,但只有28%的人在整个应用程序开发过程中拥有完全综合的安全团队和流程。
“安全是一个事后或积极避免,因为它被认为是对创新的拖延,”Cyber公园的Devsecops的全球安全总监Jody Hunt说。“让事情安全 - 作为工作流程的一部分 - 在比例中是一个挑战。”
HUNT表示,虽然其他安全供应商专注于应用软件代码的应用程序安全性,但是播放软件代码的潜在的安全漏洞,Cyber Ark正在寻求保护发展管道。
“用于构建应用程序的工具是人类或构建自动化系统可以使用的”特权演员“,”他说,注意这些工具中的特权凭据可以被黑客利用,以便在尝试妥协时进行服务器和更改配置一个组织的网络防御。
令人惊叹的是,Cyber Ark的学习中的25%的受访者未知,在持续整合和连续交付(CI / CD)工具中发现了特权账户或秘密。
亚洲安全专业人员认为未找到特权账户和秘密的其他领域是微服务(23%),集装箱(26%)和GitHub(27%)的源代码存储库。
去年年底,据报道,网络罪犯使用了在Github上举行的AWS(亚马逊网络服务)访问密钥和安全密钥,以访问AWS特权账户,该帐户用于损害Uber骑手和驱动程序的个人数据大规模的数据泄露。
然而,狩猎指出,他遇到的Devops团队不是关于安全的骑士。问题是,他们倾向于建立与企业的安全基础设施分开的“安全群岛”。
根据Cyber Ark的研究,亚洲受访者的四分之一(25%)建立了自己的安全系统,以保护和管理Devops项目的秘密。
“他们正在使用工具和”秘密功能“,往往不加密,审计或经过身份验证,”亨特说。“作为安全原则的所有事情都没有遵守。即使他们这样做,它们也代表了企业安全景观的压裂。“
复杂问题是云采用的上升,这是42%的受访者用于内部发展。然而,大多数Devops在亚洲的安全策略不是云端。
根据该研究,近三分之二的亚洲企业依赖于云供应商的内置安全,这意味着在旋转环境时,特权账户安全性并未完全集成到Devops进程中。
基于新加坡的应用程序开发人员Patrick Cher每周告诉计算机,即使Devops可以帮助简化软件开发,即使在开始时应释放安全流程。
“除了代码测试之外,我们还监控特权凭据的使用,”他说。“这已经延长了我们的发展生命周期,但鉴于今天越来越多的网络威胁是必要的。”