福布斯|只需3步嵌入安全性,让DevSecOps成为现实
导读:仅去年一年 , Web应用程序漏洞就增加了一倍 。 因此 , 企业在致力于加快数字化转型步伐时 , 不仅要专注于交付速度 , 还应将注意力转移到软件质量上 。
进入2020年 , DevSecOps成为一个越来越受欢迎的术语 。 但是 , 软件中的安全漏洞仍在继续扩散 。 2019年 , Web应用程序违规激增 , 使DevSecOps仍然难以捉摸这一事实引起了人们的关注 。 Verizon数据泄露调查报告(DBIR)的最新数据表明 , 仅去年一年 , Web应用程序漏洞就增加了一倍 。
到2020年 , 随着数字化事物的快速发展 , 对软件和应用程序的压力持续加剧 。 在我们这个数字依赖的世界中 , 安全性必须成为软件开发的基本组成部分 。 这要求企业在致力于加快数字化转型步伐时 , 不仅要专注于交付速度 , 还应将注意力转移到软件质量上 。
致力于实现DevSecOps的企业 , 可以参考以下步骤在整个软件开发生命周期(SDLC)中嵌入安全性 。
步骤1:从一开始就将安全性放在首位
【福布斯|只需3步嵌入安全性,让DevSecOps成为现实】如果您的目标是使DevSecOps成为现实 , 那么在SDLC的末尾 , 安全性就无法发挥作用 。 最近 , Zoom发生的安全事故使安全漏洞成为人们关注的焦点 , 并展示了在不考虑安全性的情况下提供创新服务所带来的风险 。 从产品开发人员到技术架构师再到Scrum专家的团队中 , 每个成员都必须考虑安全性 , 因为安全性是每个开发阶段必不可少的部分 。
实现向DevSecOps的转换意味着重新思考如何确定成功 。 大部分企业仅根据上市时间来衡量它 , 而没有评估软件质量 。 很多开发人员仍然不愿意合并安全性 , 还是坚持将注意力重心放到代码质量上 。 结果 , 软件的发布速度更快 , 但对质量的关注却很少 , 导致许多应用程序尚未准备好大规模采用 。
步骤2:一种尺度并不完全适合安全性
不要把安全性当作一个整体来犯错 。 取而代之的是 , 接受它的广泛性 , 并结合跨越身份验证、访问控制、机密性 , 完整性到不可否认性等多个不同领域 。 基于这种广泛的范围 , 单一的方法无法解决安全性的所有不同方面 。
团队需要重新考虑安全性 , 并研究安全性对他们意味着什么以及对用户而言重要性 。 这可以使客户的个人识别信息保密 , 并确定最有可能发生的攻击类型 。 例如 , 如果您的产品位于公司文件中 , 那么遭受破坏的凭据和密码攻击将构成重大风险 , 而拒绝服务攻击则不太可能 。
团队的每个成员都需要了解安全威胁和技术 , 因此他们有足够的知识来应对重复出现的问题 。 威胁模型可能包括一名员工不经意地在尝试保护数据免受政府资助的网络犯罪专业人员的侵害 。 将培训重点放在这些方面将有助于解决绝大多数问题并确保应用程序的安全 。 将安全视为一门科学而不是一门艺术至关重要 。
步骤3:不要过于复杂的安全性
许多人认为安全性是一个问题 , 只有专门研究安全性的高技能 , 高薪顾问才能解决 。 虽然在审查体系结构和执行审核时绝对需要这些技能 , 但是在基本安全检查方面(例如确保最新版本未更改身份验证机制) , 不需要具备此类专业知识 。
使用标准的静态和动态分析工具可以解决绝大多数威胁模型 。 一旦接受 , 您可以通过工具测试人员和开发人员的组合解决90%的安全问题 。 这使安全性能够注入开发生命周期的每个部分 , 并终止事后思考的实践 。
结论
一旦企业将以上这三个步骤整合到DevSecOps实施中 , 它们就可以确保实现安全性成为软件交付的核心组成部分 。 如果不这样做 , 将看到它仍然是事后的想法 , 安全漏洞将继续增长 。
推荐阅读
- 李霖|解放军夺台岛只需3天?两高官给出2021年具体时间,美军无能为力
- 奥迪接地气了,Q3优惠5.44万,只需21.74万就提车,还要啥冠道?
- 车技集合官方|原创 三款新能源车,一款轻松进藏不成问题,一款加速只需3.4s
- 曲速引擎|9.9级曲速引擎,飞出太阳系只需2.87小时,但科学家仍然感到失望
- 以色列理工大学|以色列研究出的快速血液样本分析法只需30秒即可检测出早期肿瘤
- 健康|长期食用可致癌,鉴别只需两秒钟,健康生活从一日三餐做起!
- 雪落无尘|“人到晚年深有体会,到了这个岁数,只需讨好一个人就够了”
- 垃圾箱捡到一棵“蝴蝶兰”,只需做3步,快速长新叶,当年就开花
- 新冠|治新冠的“神药”又出现?价格只需2美元?这个剂量换谁也遭不住
- 减肥|如何毫不费力地瘦掉十几斤?只需这4步!