作者:新思科技软件质量与安全部门产品市场经理Steve Cohen
软件质量与安全、合规性要求和规避风险均是当务之急,推动了DevSecOps的发展。——调研机构451 Research发布的《DevSecOps的现实与机遇》
DevSecOps兼顾了DevOps和安全,使得开发商可以更快速地构建安全、优质的软件。其中,自动化是DevSecOps发展不可或缺的因素。
世界在不断变化,APPSec应用亦是如此,自动化是推动APPSec持续、有效地发展的关键之一。许多企业已经迈出了第一步,整合其开发和运营团队,以推动更加高效的应用程序交付和市场创新。他们相互协调,朝着共同的目标奋进 —— 快速推出稳定性能、高质量的软件,并取得了很大的进展。自动化是高效达到成果的方法之一。
通过将手动流程自动化,并且将工具构建为持续集成和持续交付(CI/CD)管道,开发和运营团队提高了工作流程效率和团队之间的信任,这一点至关重要。因为这些曾经不同的团队现在合并成为一个新的团队来解决关键问题。我们看到在集成工具中自动化的使用和扩展,例如GitLab用于版本控制, Jenkins用于CI,Jira用于缺陷跟踪以及Docker用于工具链中的容器集成。这些工具协同工作,创建一个紧密的自动化环境,旨在使企业能够专注于更快地向市场交付高质量的创新产品。
企业也意识到通过在软件开发生命周期(SDLC)早期阶段融入安全原则来应用和共享自动化的价值意义重大。这样可以缩短反馈回路并减少冲突,从而使工程师能够更快、更顺利地检测和修复安全性和合规性问题,成为软件开发工作流程的一部分。
DevSecOps中的自动化是共性。它使统一的DevSecOps团队中的开发、安全和运维角色都能够在SDLC上协作和扩展视野,无论部署框架是本地部署、私有云、公有云还是混合云。通过使其成为企业新文化中无摩擦的一部分,从而加速了安全性部署。
根据BSIMM9报告,自动化将安全性成功集成到DevOps中发挥关键作用。以下是BSIMM中支持DevSecOps的一些关键活动和实践:
尽管自动化在DevSecOps中非常关键,但它并不能替代所有手动操作。你仍然需要专注于应用程序的设计以及应用程序和安全控制的基础架构支持。找出可能增加系统易受攻击的潜在弱点非常重要,包括设计违反安全设计模式、系统忽略安全控制或者安全控制遭到错误配置、弱点或误用的情况。
随着许多企业在使用DevSecOps团队替代“企业信息孤岛”和实施CI/CD工作流程方面取得了重大进展,DevSecOps中自动化的优势包括简化、协作开发、安全和操作方法显而易见:它们帮助企业更快地将高质量、安全的性能和增强功能推向市场。
好文章,需要你的鼓励
最新数据显示,Windows 11市场份额已达50.24%,首次超越Windows 10的46.84%。这一转变主要源于Windows 10即将于2025年10月14日结束支持,企业用户加速迁移。一年前Windows 10份额还高达66.04%,而Windows 11仅为29.75%。企业多采用分批迁移策略,部分选择付费延长支持或转向Windows 365。硬件销售受限,AI PC等高端产品销量平平,市场份额提升更多来自系统升级而非新设备采购。
清华大学团队开发出LangScene-X系统,仅需两张照片就能重建完整的3D语言场景。该系统通过TriMap视频扩散模型生成RGB图像、法线图和语义图,配合语言量化压缩器实现高效特征处理,最终构建可进行自然语言查询的三维空间。实验显示其准确率比现有方法提高10-30%,为VR/AR、机器人导航、智能搜索等应用提供了新的技术路径。
新一代液态基础模型突破传统变换器架构,能耗降低10-20倍,可直接在手机等边缘设备运行。该技术基于线虫大脑结构开发,支持离线运行,无需云服务和数据中心基础设施。在性能基准测试中已超越同等规模的Meta Llama和微软Phi模型,为企业级应用和边缘计算提供低成本、高性能解决方案,在隐私保护、安全性和低延迟方面具有显著优势。
IntelliGen AI推出IntFold可控蛋白质结构预测模型,不仅达到AlphaFold 3同等精度,更具备独特的"可控性"特征。该系统能根据需求定制预测特定蛋白质状态,在药物结合亲和力预测等关键应用中表现突出。通过模块化适配器设计,IntFold可高效适应不同任务而无需重新训练,为精准医学和药物发现开辟了新路径。