Context: DevOps has become one of the fastest growing software development paradigms in the industry. However, this trend has presented the challenge of ensuring secure software delivery while maintaining the agility of DevOps. The requirement of secure outputs in DevOps led to the DevSecOps paradigm, which is gaining the interest of both the industry and academia. However, the adoption of DevSecOps in practice has been challenging. Objective: This study aims to identify the challenges faced by practitioners when adopting DevSecOps and the solutions proposed by peer-reviewed studies. We intend our study to aid practitioners planning to adopt DevSecOps, foresee problems and decide on solutions early. We also aim to find specific gap areas for future research and development. Method: We have conducted a Systematic Literature Review of 52 peer-reviewed studies. The thematic analysis method was applied to analyze the extracted data. Results: We identified 21 challenges related to adopting DevSecOps, 31 specific solutions, and key gap areas in this domain. The results were classified into four themes: People, Practices, Tools, and Infrastructure. Our findings show that tools-related challenges and solutions were the most frequently reported, driven by the need for automation in this paradigm. Shift-left security and continuous security assessment were two key practices recommended for DevSecOps. People-related factors were considered critical for adoption success but less studied. Conclusions: We highlight the need for developer-centered application security testing tools that target the continuous practices in DevOps. More work is needed on how traditionally manual security practices can be automated to suit the rapid deployment cycles. Finally, achieving a suitable balance between the speed of delivery and security is a significant issue practitioners face in this paradigm.


翻译:目标:本研究报告旨在查明业者在采用DevsecOps和同行审议研究提出的速度周期的解决方案时所面临的挑战。我们打算研究协助从业者计划采用DevsecOps、预见问题和尽早决定解决方案。我们还力求为今后的研发找到具体的空白领域。方法:我们进行了52项同行评审研究的系统化文学审查。专题分析方法被用于分析提取的数据。结果:我们确定了21项挑战,涉及采用DevsecOps、31项具体解决方案以及该领域的关键问题领域。结果分为四个主题:人、做法、工具和基础设施。我们的调查结果显示,与工具有关的挑战和解决方案是安全方面最经常报告的标准化做法,而安全方面的最新标准则是安全方面的最新标准。在安全方面,对安全方面的最新标准进行了更经常的测试。

0
下载
关闭预览

相关内容

Automator是苹果公司为他们的Mac OS X系统开发的一款软件。 只要通过点击拖拽鼠标等操作就可以将一系列动作组合成一个工作流,从而帮助你自动的(可重复的)完成一些复杂的工作。Automator还能横跨很多不同种类的程序,包括:查找器、Safari网络浏览器、iCal、地址簿或者其他的一些程序。它还能和一些第三方的程序一起工作,如微软的Office、Adobe公司的Photoshop或者Pixelmator等。
最新《高级算法》Advanced Algorithms,176页pdf
专知会员服务
91+阅读 · 2020年10月22日
Keras François Chollet 《Deep Learning with Python 》, 386页pdf
专知会员服务
152+阅读 · 2019年10月12日
2019年机器学习框架回顾
专知会员服务
35+阅读 · 2019年10月11日
[综述]深度学习下的场景文本检测与识别
专知会员服务
77+阅读 · 2019年10月10日
【SIGGRAPH2019】TensorFlow 2.0深度学习计算机图形学应用
专知会员服务
39+阅读 · 2019年10月9日
LibRec 精选:AutoML for Contextual Bandits
LibRec智能推荐
7+阅读 · 2019年9月19日
灾难性遗忘问题新视角:迁移-干扰平衡
CreateAMind
17+阅读 · 2019年7月6日
深度自进化聚类:Deep Self-Evolution Clustering
我爱读PAMI
15+阅读 · 2019年4月13日
人工智能 | ISAIR 2019诚邀稿件(推荐SCI期刊)
Call4Papers
6+阅读 · 2019年4月1日
大数据 | 顶级SCI期刊专刊/国际会议信息7条
Call4Papers
10+阅读 · 2018年12月29日
A Technical Overview of AI & ML in 2018 & Trends for 2019
待字闺中
17+阅读 · 2018年12月24日
人工智能 | 国际会议信息10条
Call4Papers
5+阅读 · 2018年12月18日
计算机类 | 期刊专刊截稿信息9条
Call4Papers
4+阅读 · 2018年1月26日
【计算机类】期刊专刊/国际会议截稿信息6条
Call4Papers
3+阅读 · 2017年10月13日
【推荐】RNN/LSTM时序预测
机器学习研究会
25+阅读 · 2017年9月8日
Arxiv
49+阅读 · 2020年12月16日
Arxiv
15+阅读 · 2019年9月30日
AutoML: A Survey of the State-of-the-Art
Arxiv
69+阅读 · 2019年8月14日
VIP会员
相关资讯
LibRec 精选:AutoML for Contextual Bandits
LibRec智能推荐
7+阅读 · 2019年9月19日
灾难性遗忘问题新视角:迁移-干扰平衡
CreateAMind
17+阅读 · 2019年7月6日
深度自进化聚类:Deep Self-Evolution Clustering
我爱读PAMI
15+阅读 · 2019年4月13日
人工智能 | ISAIR 2019诚邀稿件(推荐SCI期刊)
Call4Papers
6+阅读 · 2019年4月1日
大数据 | 顶级SCI期刊专刊/国际会议信息7条
Call4Papers
10+阅读 · 2018年12月29日
A Technical Overview of AI & ML in 2018 & Trends for 2019
待字闺中
17+阅读 · 2018年12月24日
人工智能 | 国际会议信息10条
Call4Papers
5+阅读 · 2018年12月18日
计算机类 | 期刊专刊截稿信息9条
Call4Papers
4+阅读 · 2018年1月26日
【计算机类】期刊专刊/国际会议截稿信息6条
Call4Papers
3+阅读 · 2017年10月13日
【推荐】RNN/LSTM时序预测
机器学习研究会
25+阅读 · 2017年9月8日
Top
微信扫码咨询专知VIP会员