重磅！GitLab 提出五大預測，洞見 2023 年 DevSecOps 發展趨勢

本文來源：about.gitlab.com

作者：Sandra Gittlen

譯者：極狐(GitLab) 市場部内容團隊

2023 年，企業會将更多的時間和資源投入到持續的安全左移上，完成從 DevOps 到 DevSecOps 的演變。 

GitLab CMSO Ashley Kramer 表示，每一個公司都需要将安全緊密內建到 DevOps 中，以應對整個軟體開發生命周期中不斷增加的威脅。此外，DevSecOps 團隊需要持續關注供應鍊安全，充分利用 AI 和 ML，并進一步使用價值流分析。

下文内容整理自 GitLab 多位部門負責人的分享，他們預測了2023年 DevSecOps 五大發展趨勢。

預測一 保護供應鍊安全将是最高優先級

首席産品官 David DeSanto 表示，安全依舊是整個組織的責任，将進一步 “左移”，并從內建開發環境（IDE）擴充到生産環境。

GitLab 2022 年全球 DevSecOps 調研報告提到，57 % 的安全團隊表示他們的組織已經在實施或計劃在 2023 年實施安全左移；一半的安全專家表示開發者未能識别的安全漏洞高達 75%。

安全左移的原因之一是加強軟體供應鍊安全。“随着遠端開發變得越來越普遍，軟體供應鍊安全将在軟體開發生命周期中發揮更廣泛的作用。” DeSanto 說道。

全球 Field CISO Francis Ofungwu 預測，軟體供應鍊安全将朝着以下三個方向發展：

• 一線工程師将在日常運維中承擔更多的威脅管理職責。為了完成這一工作，開發人員需要在軟體開發生命周期的每個階段，實時了解漏洞情況和修複政策，降低生産環境中發生嚴重事件的可能性。
• 安全和合規團隊将把軟體安全保障政策融入代碼，避免因耗時的手動安全審查，拖累開發速度。
• 一些引人矚目的安全事件進一步凸顯了軟體開發風險。組織将建立審計流程，更好地評估和報告 SDLC 風險。這就要求組織設計好如何傳遞工件，以證明其開發工具鍊各方面部署的控件具有不變性。

“多年來，在軟體供應鍊安全方面，誕生了許多最佳實踐。這些實踐的做法和成果，正在成為監管的參考，列入監管條例和準則。” 安全合規經理 Corey Oas 說道。他指出工件證明和軟體物料清單 (SBOM) 生成，很快将成為政府或行業強制執行的最佳實踐示例，這兩者都是開發流程中不可或缺的部分。

産品組管理經理 Sam White 重申了 SBOM 和工件證明預測，稱 DevSecOps 團隊需要持續關注 SBOM 和證明。“我期待看到這樣一個轉變：從把 SBOM 和工件證明視為一次性事件，變為将它們視為持續評估過程的一部分。” 他說，“另外，組織需要更深入了解軟體依賴（如開源軟體包）和集中化建構資訊。”

軟體供應鍊安全的另外一個要素就是零信任。“企業組織關注零信任已經有一段時間了，這将是未來的實施重點，” GitLab 聯席 CTO Joel Krooswyk 表示，“至少在聯邦機構及其供應商中，這一變革的原因之一是國防部最近釋出了零信任架構戰略和路線圖，并将零信任原則納入美國國家标準與技術研究院部分出版物，例如 800-207。”

擴充閱讀：在中國，一系列推動零信任落地的政策也接連釋出，如工信部釋出《關于促進網絡安全産業發展的指導意見》和《網絡安全産業高品質發展三年行動計劃(2021-2023 年)》，都明确提出支援發展零信任安全，并将多個零信任項目列入試點示範項目，全力打造牢固的安全防護能力。

更多關于預測内容，可以關注 webcast [ 2022 回顧 & 2023 網絡安全預測 & GitLab 零信任]

預測二 安全将深入 DevOps 教育

為了加速 DevOps 演進到 DevSecOps ，需要将安全視為 DevOps 教育訓練和教育課程的重要部分，White 表示，并且組織必須提供教育訓練，讓開發人員獲得基本安全知識，包括識别各種漏洞的重要性與解決之道。

教育布道師 Pj Metz 認為， 2023 年将是 “安全左移原則出現在大學課堂上” 的元年。

“GitLab 教育團隊已經收到了越來越多關于 DevSecOps 的教育請求，不僅僅是計算機科學和程式設計專業，資訊系統專業的學生也希望了解 DevSecOps 更多内容，” 他說，“在 DevOps 課程中直接內建安全教育，将為未來的 DevSecOps 人才需求做好準備。”

預測三 AI/ML 将貫穿 SDLC

“AI 将成為提高生産力的關鍵。” Kramer 說到，“比如，DevOps 團隊可以內建 AI/ML ，用于自動執行那些重複且困難的任務。理想情況下，可以通過消除認知負擔來減輕開發人員的壓力，減少上下文切換次數，最終讓開發人員能夠聚焦在核心業務研發上。”

根據 GitLab 2022 年 DevSecOps 調研顯示，62% 的受訪者表示正在實踐 ModelOps，51% 的受訪者正在使用 AI/ML 來檢查代碼。

“将數字化轉型和業務分析與 AI 相結合，才能讓數字化轉型真正發生。” 社群項目經理 Christina Hupy 說道，“随着輸入更多資料，企業可以得出真實洞察，并使用 AI 來不斷改進系統。”

DeSanto 同意這個觀點，并預測 AI 輔助工作流将在軟體開發中普及。“AI/ML 将進一步助力研發加速、安全修複和提高自動化測試以及可觀測性。”他說道。

資料科學産品經理 Taylor McCaslin 表示，随着 AI/ML 在整個 SDLC 中使用，組織需要更加關注隐私問題、保護知識産權（例如 AI 生成的代碼所有權）以及訓練資料集和算法相關許可許。

同時，他表示要加快開發 MLOps 和 DataOps，利用 ML 和 AI 幫助開發人員管理、維護和疊代軟體系統。”（GitLab 正投入于對 ModelOps 的研究，以讓 GitLab 能夠更好的支援資料科學方面的軟體開發。）

預測四 價值流分析将在組織中發揮更大作用

今年要推進數字化轉型的組織，需要對價值流有更深入研究。“價值流分析将拓寬過去的開發工作流程，以更全面地了解組織向其使用者（内部和外部）提供的價值。” DeSanto 說道。

管理團隊在尋求一些資料名額——通過這些名額，能夠深入分析數字化轉型和技術投資如何創造價值，推動業務成果。相對于以往僅關注開發效率而言，這是一個重要轉變。

2022 年全球 DevSecOps 調研報告指出，75% 的受訪者表示他們要麼已經在使用一體化 DevOps 平台，要麼計劃在年内遷移到一體化 DevOps 平台，驅動這一行動的原因之一就是對價值流分析和可觀測性的需求。

預測五 可觀測性将左移，以實作高效的DevSecOps

進階開發者布道師 Michael Friedrich 稱，可觀測性将在 SDLC 中進一步左移，“可觀測性驅動的研發，将使每個人都變得更加高效和更具創新力。”

eBPF 等新的可觀測性技術，将幫助開發者進行自動化代碼檢測，而非通過手動檢測，增加額外的工作負擔。而且，eBPF 将更好地支撐雲原生環境中的可觀測性和安全工作流的落地。

可觀測性将在提高 DevSecOps 工作流效率方面發揮重大作用，包括 CI/CD、基礎設施成本分析和趨勢預測，以實作更好的容量規劃。