采用
可以做的事情還有很多。您編碼和構建的內容是您看到嵌入 CI/CD 管道的大部分進展的地方。隨著世界在不同的云環境中變得更加由 API 驅動，我們將考慮如何將安全角度嵌入到所有這些事物中，無論平臺如何構建。這是一個涉及人員的工作流程。您做得越多，就越安全。你永遠不會完全沒有任何安全感。總會有新的事情出現。反應時間非常關鍵。使用這些工具，了解您的文化并跟上變化。
五到七年內，這將成為 DevOps 的標準方式。
鑒于我們正處于演進的飛躍之中，它創造了很多自動化實踐的機會，以及基于容器的技術的新平臺以及適合 K8s 之上的框架。任何基于 K8 的技術堆棧都會帶來機遇和挑戰。隨著技術的發展，安全團隊如何保持領先地位？在進行新技術的 alpha 試驗之前，先熟悉、了解風險并獲得團隊的理解。
目前，DevSecOps 的重點是將安全和風險管理協議實施到開發工作流程中，以確保代碼在開發過程中盡早安全且合規，并且發布的代碼滿足最高的安全和隱私標準。這仍然是當前安全實踐與 DevOps 開發文化之間的集成。未來，我想——或者至少我希望！— 安全組織將逐漸欣賞 DevOps 的高可見性和高協作共享代碼文化，并全心全意地將這種方法引入到他們的安全實踐中，借用已經很好地服務于開發的迭代和開放方法。開源運動告訴我們，對代碼的多方關注會帶來更強大的代碼，對于安全測試和其他代碼安全自動化來說，這一點也必將得到證明。
1) 隨著越來越多的安全和合規性控制更早地嵌入到 DevOps 生命周期中，我們將繼續看到未來安全性進一步向左移動。圍繞 DevSecOps 管道本身的安全性作為一個重要的風險面，還將有更多的討論和強調。2) 然而，最大的機會在于成功的 DevSecOps 實施，需要減少安全摩擦，從而成為現有安全工具創新的催化劑，使它們能夠產生更準確、更相關的見解或行動。3) 到目前為止，大部分注意力都集中在為客戶開發的代碼和產品上。然而，組織有一個重要的機會在其他技術領域（例如內部 IT 環境）采用 DevSecOps 方法。可以獲得相同的 DevSecOps 效率，以確保安全的內部 IT 環境。
跨數據生命周期和跨安全學科（例如訪問控制、數據保護等）的保護。DevOps 將遍及數字化轉型的各個方面，并消費各種形式的數據。在這些不同的環境中進行保護將具有挑戰性，但也存在大量機會。
我喜歡 DevSecOps 在服務提供商領域所采取的總體方向。我們將各種工程學科融合得越緊密越好。然而，我仍然看到的最重要的事情是變革管理。變化快速而頻繁，對于企業來說，這往往不是一件好事。這取決于組織愿意遷移到 DevSecOps 模型的風險偏好。
我預計，在未來 18 個月內，轉向 DevSecOps 的組織比例將顯著增加。主要驅動因素包括風險和合規驅動的舉措、數字化轉型、云遷移，以及在數據泄露經常成為頭條新聞時為客戶構建安全產品的愿望。
安全是根深蒂固的
管道中的人員還相當不成熟。他們已經整合了 SonarQube 并且認為它們很好。當安全與產品團隊整合時，它會產生更大的影響。更多提高效率的指標。安全掃描器的代碼覆蓋率是多少？我們是否合并了其他惡意軟件掃描程序？已修復多少威脅？我們剛剛開始研究 DevSecOps 的指標，以確定指標是什么樣的。
DevOps 和 DevSecOps 將合并。分享相同的哲學。還有一個相反的問題，即人們將其視為一種時尚。
我相信，在企業需要實施涵蓋從開始到結束的構建-交付-運行生命周期的應用程序安全性的推動下，我們將看到 DevOps 加速轉變為 DevSecOps。現在企業很清楚，僅靠圖像掃描和主機安全無法保護應用程序免受毀滅性零日攻擊的威脅。容器化環境使得整個應用程序生命周期中的 DevSecOps 和安全性需求變得尤為重要，因為企業現在在生產中使用容器，并且需要自動化、專業的容器網絡安全來阻止對這些高度動態環境的攻擊。
未來將為每個人提供足夠的動力去做這件事。真正擅長安全的組織現在從高層開始優先考慮它。他們這樣做可能是因為他們覺得安全感使他們有別于競爭對手。他們這樣做可能是因為有些人真正關心它并且知道這是正確的事情。我們需要讓默認安全變得更容易。將安全優先事項移至底層并繼續前進太容易了。如果在不安全的情況下做事比完成同樣的事情更困難，但由于安全貫穿始終，那么這一運動就奏效了。
自動化——即使是構建基礎設施和審核安全配置的基本自動化，也能以很小的成本帶來巨大的好處。教育——讓團隊不再只是背誦“安全是每個人的責任”，而是讓他們了解安全對公司底線的重要性，從而激勵將安全納入整個開發過程。
隨著越來越多的公司開始采用 DevOps 并轉向公共云，我們將看到這一領域的進一步增長。DevSecOps 將與 DevOps 創新和采用齊頭并進。
讓開發人員和運營人員承擔更多的安全責任。隨著越來越多的人意識到安全性，DevSecOps 承擔了大部分工作并進行了分發。更多的人將接受開發和運營安全方面的培訓。
安全性必須融入 DevOps 中。需要更多的失敗和違規行為，人們才會認真對待它。
隨著行業繼續向微服務和無服務器架構發展，組織的整體攻擊面將呈指數級增長。企業領導者將把 DevSecOps 視為在數字世界中運營的基本要求。成功的 DevSecOps 實施將以更快的速度、更少的人為干預來檢測和解決潛在的安全威脅。
DevOps 正在快速轉向所需狀態的配置模型。開發者說世界應該是什么樣子；系統將實際狀態收斂到期望狀態，例如 Kubernetes、Terraform 等。期望狀態的引入為 DevSecOps 提供了前所未有的機會，可以將法規/最佳實踐作為期望狀態的護欄 - 有效地阻止安全、操作和合規性問題出現之前。
人工智能/機器學習
自動化是關鍵。我們采訪了 450 名 IT 運營專業人士，了解如何滿足他們的業務需求。31% 的人捉襟見肘，因為沒有足夠的人來完成這一切。自動化工作流程、測試和開發就是答案。通過自動化簡化流程。使用 AI 驅動的應用程序和 ML 來改進 DevOps。使用 AI 和 ML 了解應將時間集中在哪里進行漏洞管理。
最大的機會在于創建成熟的解決方案，確保對 DevSecOps 管道中的應用程序和基礎設施進行自動安全檢查，加速整個管道并減少誤報。此外，實施基于人工智能的解決方案來預測和識別模式，在黑客發現安全漏洞之前發現安全漏洞，這是公司應該集中精力的一個關鍵機會。
“DevSecOps”這個術語可能很快就會消失。這并不是說安全將會消失；而是說安全將會消失。相反，安全將成為軟件交付的一個基本部分，以至于不再需要“安全的 DevOps”的單獨名稱。隨著我們更好地將安全性預先嵌入到我們的軟件中，客戶和用戶面臨的風險將會減少，他們的信任程度也會提高。人工智能 (AI) 在威脅檢測、生物識別登錄和威脅響應的安全領域變得越來越普遍，并且很可能在不久的將來成為 DevSecOps 的一部分，從而減少測試所需的時間，同時提高效率。