新思科技点拨DevSecOps安全“左移”的9大要点

发布时间:2023-02-07  

驱动世界,软件开发的要求越来越高。为了按时交付软件,开发和运维工作必须紧密协作,DevOps应运而生。此外,随着安全的重要性日益凸显,DevSecOps 成为很多企业的安全策略。当然,并不会有一个开关,可以将 DevOps直接一键转换成为 DevSecOps。这需要工具组合和长期实践。

软件开发模式正迅速迈向DevSecOps,这使得开发与运维团队得以相互协作,向着“快速交付高质量、高可信的软件”这一共同目标而奋进。认为,实施DevSecOps是一场文化、流程和技术上的变革,而将安全活动集成到软件开发生命周期(SDLC)中从而实现安全左移是其关键。

中国信息通信研究院发布的《中国DevOps现状调查报告(2022)》显示:36.49%的受访企业尚未开展DevSecOps实践;35.72%的受访企业尚未将安全测试“左移”到需求阶段。这表明DevOps向DevSecOps的演进已经取得了长足进步,但提升的空间仍然很大。

新思科技中国区软件应用安全技术总监付红勋指出:“安全左移涉及文化、流程及技术的优化,涉及一系列管理活动和工程活动的调整,是实现DevSecOps的要点与难点。而实现安全左移则需要把握9大要点,即:以SHIFT LEFT的方式实现 Shift Left。”

1. Security Awareness (强化安全意识)。意识是安全左移的土壤。不仅是对研发团队,更重要的是管理层需要充分认识到安全形势的严峻性与复杂性,认识到应用安全是重中之重。获取管理层的支持是安全计划得以落地的大前提。

2. Hierarchical standards(分层设定标准)。既要尽量在缺陷引入的源头把关、又要不降低CI/CD流水线的速度,要在两者之前取得平衡,就需要沿流水线分层设定安全标准。

3. Integration(无损融入流程)。安全活动融入研发流程有四个步骤:小范围试点,发现并解决融入后的问题,积累推广经验;流程Owner正式签发;推广与培训;监测流程运转中的问题、及时改进。

4. Feature & requirement(规划安全需求)。应用安全是开发出来的、也是设计出来的,但首先是规划出来的。安全需求有两种形态:显性需求和隐性需求,后者往往不是客户可以直接感知的功能,但却可以直接提高系统的安全性。

5. Threat modeling in design(威胁建模设计)。威胁建模即结构化地识别系统所面临的威胁、并制定相应的削减措施。威胁建模是规避设计类缺陷的不二法宝。

6. Learning security in coding(编码中学习安全)。代码是应用安全的主体。常规培训可以强化安全意识,在编码中结合业务实际的学习则可以积累安全知识。

7. Enabler knowledge base(构建使能KB)。知识库是安全左移后安全工程活动得以高质量开展的助推器。构建KB除了依靠安全设计、安全组件开发、安全测试技术研究等专项小组的智力外,还需要采购第三方产品作为重要的补充。

8. Full-range security testing(全程安全测试)。测试是应用安全的保障。全程安全测试对应用安全的价值无可替代,所谓全程就是要做到四个维度的全覆盖:时间维度,需求规划到发布;技术维度,白盒、灰盒、黑盒测试;方法维度,自动、手工(如核心代码的人工安全审查、渗透测试);对象维度,自研代码、开源代码。

9. Tool chain(打磨安全工具链)。工具是应用安全的依托。AppSec测试工具融入DevOps,打磨成适合自身的DevSecOps工具链,这是支撑安全成功左移的关键。理想的DevSecOps工具链的应满足以下特点:无损、自动、智能、可视及开放。

中国区软件应用安全业务总监杨国梁总结道:“知易行难。DevSecOps不是微小的改变,是对公司文化的真正改变。这需要时间、培训、工具以及拥抱DevSecOps文化的意愿。将安全性集成到DevOps团队的日常工作中可能需要耗费更多时间,但这带来巨大的价值。开发、运维和安全团队将协同工作,以提高交付软件的质量和安全性,从而加快交付速度,最终提升客户满意度。”

文章来源于:21IC    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

相关文章

    成都城投智源科技有限公司电化学储能供应商入库采购项目比选公告;11月27日,成都城投智源科技有限公司电化学储能供应商入库采购项目发布。本次比选拟入库12家供应商,具体采购形式、供货数量及型号业主方将根据实际采购需求向库内供应商另行发布。 ......
    是基于 JAVA 环境运行的,所以需要安装 JRE 安装 修改路径后进行下一步 安装完成后关闭界面 接下来安装STM32CubeMX 官网下载: 在官网下载需要注册下ST官网账号,目前最新为5.3.0......
    器品类目前也可享受送装一体服务,在苏宁线上线下购买热水器,全国30个重点城市可享受送装一体服务。 而在售后服务上,苏宁也将在北京首次推出针对3C类商品的逆向物流,产品坏了以后无需到对应的网点,只需要在线上递交信息,苏宁......
    需要安装 JRE 官网: https://www.java.com/en/download/manual.jsp 百度云链接请在阅读原文中获取 安装 修改路径后进行下一步 安装完成后关闭界面 接下......
    方的共同努力下,我们有信心3年销售额同比增长100%的目标必将达成。 根据协议,双方将在产品方面根据不同消费者需求进一步加快产品推陈出新,优化OPPO手机、一加手机、OPPO平板等3C数码......
    手机、OPPO平板等3C数码产品的结构布局,推出更多定制化产品与权益。借助京东“先人一步”计划,让消费者享受到新品先拿、权益先享、优惠先得的专属体验;在营销方面,双方将加码资源投放与线上线下联动,整合......
    方的共同努力下,我们有信心3年销售额同比增长100%的目标必将达成。根据协议,双方将在产品方面根据不同消费者需求进一步加快产品推陈出新,优化OPPO手机、一加手机、OPPO平板等3C数码产品的结构布局,推出......
    物流行业的代言人。 伟创力全球服务和解决方案部高级副总裁兼总经理 Pat Ring表示:"消费者和企业对更可持续实践的需求日益增长,进一步为产品售后不同流程中日益增加的逆向......
    力全球服务和解决方案部高级副总裁兼总经理 Pat Ring表示:"消费者和企业对更可持续实践的需求日益增长,进一步为产品售后不同流程中日益增加的逆向物流应用和知识共享奠定了基础。通过加入逆向物流协会,我们期待着与业界领袖合作,在全......
    延长现有Nitro芯片使用寿命的机会。 功能正常的组件将送回库房,以便在亚马逊云科技数据中心重复使用 逆向物流计划的最后一步......

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>