[TechWeb编译]Covid-19大流行带来了新的常态。远程工作和视频会议从未像现在这样流行。直接的结果是,云计算也从未如此流行。
但是,需要注意的是需要全速迁移的人员。DivvyCloud的杰里米·斯奈德(Jeremy Snyder)在4月告诉该刊物 时 说,“人们真的很擅长创造东西,但不善于自我清理”,而 上个月 ,Pariveda Solutions副总裁玛格丽特·罗杰斯(Margaret Rogers)警告说:“知道去哪里很少能旅途更轻松”。
在当今时代,安全比以往任何时候都更为重要– 位于加利福尼亚州的应用程序安全提供商Synopsys比任何人都知道这一点。Synopsys的高级产品经理Utsav Sanghani(左)解释说,尽管许多客户希望加快其转型,无论是金融服务业还是独立软件供应商(ISV),一个流程都是关键。
他说: “所有这些公司都处于这种转型中,通常一个过渡可能要花费数年时间。” “有了Covid-19,特别是经历了这一过渡的公司,那些已经转向更敏捷,"无接触"的DevOps流程的公司已经能够接受这一新常态,但是其中一些组织拥有旧版管道和没有DevOps工具到位的过程会很艰难。
“您最初不是花18到24个月的工作,而是开始看到组织尝试快速跟踪它,现在目标是在6到8个月内完成,并急于寻求正确的工具和流程变更,以及重大的文化变革, Sanghani补充说。
但是,如果您的房屋建在沙滩上,那么无论您对组织进行其他任何更改,秋天的影响仍然很大。Sanghani解释说:“显然,从开发人员,构建过程到持续集成,都需要进行很多更改。” “这些大型机系统从来没有考虑到持续集成的问题,因此,试图将其改造为CI系统是一个挑战。”
像现在这个领域中的许多公司一样,Synopsys看到其整个产品组合中的客户都在增加和参与,无论是与云迁移相关的应用程序安全性还是DevOps环境中的安全性。与其他过程一样,此过程已巧妙地归类为流行词DevSecOps。但是正如Sanghani解释的那样,Synopsys的目标是将AppSec变成主流,而不是流行语。DevSecOps是一种“意识形态”,而DevOps是“真正的文化变革”。
他说:“当我们谈论嵌入安全性时,理想情况下,目标是您需要在过程中尽早嵌入它。” “ DevOps开始时在开发人员组件和操作组件之间提供了更顺畅的过渡,并且在不同阶段,安全至关重要,您的风险因阶段而异。
Sanghani补充说:“如果您在操作方面,并且正在运行扫描,并且意识到已部署并在生产环境中运行的系统上存在活动漏洞,那么您就会遇到问题。” “如果您在开发阶段发现一些尚未部署的东西,那么您仍有很大的机会来处理它。
“作为流行语,DevOps对于许多开发人员和不同的成员而言非常令人兴奋-也许会有一个更民主的过程,不同的人参与其中。安全可能是其中的一部分。我们的主要目标是帮助那些组织中的安全管理员与开发人员合作,与DevOps工程师,构建工程师合作,并使安全成为流程的标准组成部分,即使他们转向更紧密的DevOps流程也是如此。”
那么,如何协调这样一个过程,更重要的是,所有利益相关者如何参与其中?专注于可能造成的损害是有帮助的,而蓝筹品牌继续遭受数据泄露的冲击- 万豪 和 Capital One 在过去的12个月中排名第二。
他说:“ CFO和CISO可以非常紧密地合作。” “违规行为在财务上以及从声誉的角度来看都可能造成破坏。组织希望避免这种情况,这就是为什么他们共同努力进行更改以确保降低风险的原因。”
他补充说:“在地面上,这更多是效率方面的事情。” “建筑和运营工程师衡量了他们能够以多快的速度编写代码,将其沿着管道传递,并有可能将其发布出去。从成本的角度看待CXO的观点是不同的,但是他们主要出于这些原因而同意DevOps,因为它可以帮助他们实现这些好处。”
展望未来,Synopsys注意到Covid-19对客户的路线图以及公司如何为他们提供帮助的影响。该公司的客户范围从希望最大程度降低其应用程序安全风险的初创公司到大型组织,从零售业到金融服务业,都致力于最佳实践。
Sanghani解释说,客户依赖于更传统的DevOps和协作工具,例如Atlassian的JIRA和ServiceNow,因此,提高速度和实现更多自动化是当务之急。“假设您发现了一个安全缺陷,这是您(您)代码库中的一个问题– [您]如何在开发人员面前解决这个问题?” 他说。“由于我们不再在同一个办公室工作,我们如何自动化该流程并扩大规模?
“您可以与JIRA集成,然后将问题推送到JIRA,并且已经设置了工作流程,它会自动将问题分配给开发人员。开发人员打开票证(并知道他们)必须解决此问题–因此,在这种新的Covid-19正常运行期间,Synopsys已开始着手促进这种自动化,以快速跟踪并为客户提供帮助。”
同时,这是在数量上产生更高质量结果的举措。“我们正在努力减少我们提供给您的结果的数量,但是我们可以为您提供具体的背景信息-这样它将告诉您该技术和该技术发现的东西-可能是同一问题,因此您必须只解决一次。”他补充说。
“这就是当今行业中缺少的部分。我们为您提供了单独的工具数据,但是您如何将它们汇总在一起,以便开发人员理解为什么会出现问题?相关性以及与检测和修复有关的许多与自动化相关的内容是我们计划的主要部分。” 他补充说。[TechWeb编译]