在Micro Focus發布《DevSecOps:數位創新的框架》這份整合IDC 2020年亞太區DevSecOps調查結果的IDC InfoBrief報告中,74%的亞太區 (APAC) 受訪者認為新冠病毒 (COVID-19) 疫情持續蔓延,帶動了安全軟體開發計畫的需求。IT主管面對日趨猛烈的資安威脅,加上消費者對數位服務有更高的期望,以及線上活動驟增導致應用程式使用率攀升,使得安全性成為應用程式開發和維運核心 (即DevSecOps) 的重要性與日俱增。不過,大多數的亞太區企業目前都沒有足夠能力解決這些問題;55%的受訪者僅具備低度至中度的DevSecOps成熟度。
本次研究鎖定14個亞太區1,178位企業主管進行調查,了解企業或組織的DevSecOps成熟度及其DevSecOps活動、計畫、挑戰與流程。DevSecOps是指在軟體開發供應鏈中注入安全性的一套作法,其範圍涵蓋規劃、部署、交付與其他階段。IDC調查發現,儘管IT主管知道採用DevSecOps策略的好處,但要全面推動DevSecOps仍有許多阻礙。
今日的企業認為有效率的軟體開發、安全威脅與營運敏捷度是在亞太區推動DevSecOps計畫的重要驅動力。但就地區而言,每十個亞太區領導者中,只有四個表示他們已結合DevOps和安全團隊共同改善軟體開發流程,其中印度(53%)與大中華區的中國(51%)在團隊整合方面做得最好,而韓國(29%)與日本(30%)的DevSecOps策略仍在發展階段。
台灣在此次調查中則是亞洲地區DevSecOps整合的領頭羊,有42%的受訪者表示已開始整合其組織的應用程式DevOps和安全團隊,高於整個亞太區的平均值40%。此外,台灣IT主管推動DevSecOps的主要原因是追求營運敏捷度和軟體開發效率等效益。受訪的台灣IT主管表示,在2021年,除將繼續整合DevOps 和安全團隊之外,也將專注於雲端原生的開發和開放原始碼的使用。
「要加速推動新數位計畫,特別是為消費者以及更常透過虛擬方式與公司互動的員工提供最佳線上體驗,需要安全且有效率的軟體開發流程,」Micro Focus亞太及日本區總裁Stephen McNulty表示。「這是建立人際關係和數位信任的關鍵時期,因此企業組織需要持續透過自動化的安全測試,加速DevSecOps的採用,以滿足企業利害關係人的數位需求。」
企業的DevSecOps成熟度與員工、流程和工具息息相關-包括取得利害關係人的支持、制訂DevOps的安全強化方法,以及用來測試與自動化流程的技術。此研究發現,阻礙DevSecOps廣泛採用的主要原因可分為三大類:預算限制(15%)、缺乏人才或技術(13%)、難以在混合基礎架構上執行自動化(13%)。
由軟體驅動的創新日趨重要,因此克服這些問題是亞太區企業的首要之務,這將有助於他們更有效率地監控應用程式的數位風險。在今日的數位經濟環境中,安全應用程式、服務與平台是數位創新的基石,因此在軟體開發的最後階段進行安全測試已不合時宜。
在亞太區企業中,應用程式安全測試仍是由DevOps團隊負責,安全團隊則從旁協助。目前最常用的安全工具包括軟體組成分析(24%)、互動式應用程式安全測試(19%)與靜態應用程式安全測試(18%)。
「要提升企業組織的DevSecOps成熟度,最完善的方法就是讓安全性融入每個軟體開發專案中、達到100%的自動化測試,以及持續分析應用效能,以找出潛在效能落差,」Micro Focus 台灣企業資訊安全資深技術顧問李柏厚表示。「無論是基於雲端還是內部部署,Micro Focus Fortify都是最全面的平台,可將安全性貫徹於軟體開發與部署中,提高生產率、降低成本及更有效地管理所有的軟體安全活動。」
Micro Focus Fortify將現有工具、架構和技術整合在CI/CD流程中,並將其自動化,以幫助企業開始並加速採用DevSecOps方法。Fortify將持續為現代應用程式提供更多支援,包括容器掃描、更多語言支援、API掃描與深度CI/CD整合,讓DevSecOps團隊透過自動化功能,迅速建置大量的安全軟體。
「在持續的交付流水線中 (pipeline) 內建完整的安全性,意味著企業將建立更深厚的DevSecOps文化,捨棄以往由個別部門獨立達成安全性的方式,改由開發團隊和安全專家共同承擔責任。對於想採用端到端的安全方法,並改善數位能力的企業而言,這是非常正確的方向,」IDC亞太區DevOps研究組長Gina Smith表示。