欢迎来到永胜在线
国内最专业的科技资讯提供商

超越娱乐地址:#BHUSA: DevSecOps,超越流行词

DevSecOps不仅仅是另一个毫无意义的流行词,它是一种包含许多步骤和实际技术的方法,可以用来帮助有效地降低风险。这是来自于在拉斯维加斯举行的美国黑帽会议上的一个会议,会议的题目是:"DevSecOps: What, Why and How."

NotSoSecure亚太地区主管Anant Shrivastava解释说,对许多组织来说,理想主义的目标是默认安全。DevSecOps是一种通过工具将安全性集成到开发人员和操作工作流中的方法,可以帮助在组织中创建一种安全文化,即代码。

斯里瓦斯塔瓦说,"DevSecOps使管理快速发展和大规模安全部署变得更加容易。"安全必须是这个过程的一部分,它不能只是在最后才发生的一个步骤

在现代的DevOps代码开发方法中,开发人员在IDE(集成开发人员环境)中构建代码,将代码签入源代码存储库,然后将代码移至持续集成、持续部署服务器,再移至生产部署。Shrivastava说,在DevOps过程的每个阶段,都有一些工具和控制可以用来提高安全性。

DevSecOps管道中的第一步是让Shrivastava称为"的预提交hooks"用于开发人员的工作站,以确保诸如访问密钥之类的敏感信息不会直接集成到代码提交中。IDE插件还可以帮助开发人员识别代码中可能导致可利用漏洞的潜在bug。

软件组合分析(SCA)是开发人员采用DevSecOps模型的另一个关键步骤。

什利瓦斯塔瓦说:“我们编写的软件没有我们构建的框架多,目前软件中最大的一部分是第三方库。"软件组合分析在过时的第三方图书馆中对易受攻击的标识进行检查

静态分析是DevSecOps管道中的下一步。Shrivastava解释说,静态分析工具支持自动代码审查,可以发现软件缺陷,比如SQL注入和跨站点脚本(XSS)。静态分析在未运行的代码上运行。其必然结果是动态分析,它着眼于识别运行代码中的缺陷。

从开发转移到生产,DevSecOps还寻求帮助保护用于应用程序部署的基础设施。将安全性定义为基础设施中的代码,这一点很合适。

"基础设施作为代码,允许您对基础设施进行文档化和版本控制,他解释说。它允许您对基础设施执行审计,整个环境可以像基本映像一样安全

拥有所有不同的DevSecOps控件和工具也会增加新的复杂性,因为每个工具都有自己的报告格式。这就是为什么Shrivastava说DevSecOps管道中也需要漏洞管理,作为所有不同报告的中心仪表板。

最后,即使有各种各样的工具来检查不同级别的代码,漏洞仍然会通过。施里瓦斯塔瓦说,一旦部署了代码,就必须准备好警报和监控工具,看看是否还有恶意软件能够通过。

他说:“我们的工作假设是,任何东西都可以被黑客攻击,但你仍然可以让攻击者的生活变得很悲惨,这就是游戏的规则。

历史上的今天
八月
9
    哇哦~~~,历史上的今天没发表过文章哦
赞(0)
未经允许不得转载:永胜在线 » 超越娱乐地址:#BHUSA: DevSecOps,超越流行词
分享到: 更多 (0)
标签:

相关推荐

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  • Q Q(选填)

永胜在线科技网 更权威 更方便

永胜在线联系我们