安全仍然是Devops的事后

据Cyber​​ Ark的最新高级威胁景观报告称，虽然Devops已经更快更容易地推出应用程序，但亚洲的安全往往仍然是亚洲的追求事件。

Cyber​​ Ark发现，Cyber​​ Ark发现，94％的组织采用了Devops，但只有28％的人在整个应用程序开发过程中拥有完全综合的安全团队和流程。

“安全是一个事后或积极避免，因为它被认为是对创新的拖延，”Cyber​​公园的Devsecops的全球安全总监Jody Hunt说。“让事情安全 - 作为工作流程的一部分 - 在比例中是一个挑战。”

HUNT表示，虽然其他安全供应商专注于应用软件代码的应用程序安全性，但是播放软件代码的潜在的安全漏洞，Cyber​​ Ark正在寻求保护发展管道。

“用于构建应用程序的工具是人类或构建自动化系统可以使用的”特权演员“，”他说，注意这些工具中的特权凭据可以被黑客利用，以便在尝试妥协时进行服务器和更改配置一个组织的网络防御。

令人惊叹的是，Cyber​​ Ark的学习中的25％的受访者未知，在持续整合和连续交付（CI / CD）工具中发现了特权账户或秘密。

亚洲安全专业人员认为未找到特权账户和秘密的其他领域是微服务（23％），集装箱（26％）和GitHub（27％）的源代码存储库。

去年年底，据报道，网络罪犯使用了在Github上举行的AWS（亚马逊网络服务）访问密钥和安全密钥，以访问AWS特权账户，该帐户用于损害Uber骑手和驱动程序的个人数据大规模的数据泄露。

然而，狩猎指出，他遇到的Devops团队不是关于安全的骑士。问题是，他们倾向于建立与企业的安全基础设施分开的“安全群岛”。

根据Cyber​​ Ark的研究，亚洲受访者的四分之一（25％）建立了自己的安全系统，以保护和管理Devops项目的秘密。

“他们正在使用工具和”秘密功能“，往往不加密，审计或经过身份验证，”亨特说。“作为安全原则的所有事情都没有遵守。即使他们这样做，它们也代表了企业安全景观的压裂。“

复杂问题是云采用的上升，这是42％的受访者用于内部发展。然而，大多数Devops在亚洲的安全策略不是云端。

根据该研究，近三分之二的亚洲企业依赖于云供应商的内置安全，这意味着在旋转环境时，特权账户安全性并未完全集成到Devops进程中。

基于新加坡的应用程序开发人员Patrick Cher每周告诉计算机，即使Devops可以帮助简化软件开发，即使在开始时应释放安全流程。

“除了代码测试之外，我们还监控特权凭据的使用，”他说。“这已经延长了我们的发展生命周期，但鉴于今天越来越多的网络威胁是必要的。”