如何打破Sec、 Dev和Ops之間的孤島?
在多數企業裡,軟體安全只是檢測部門的職責,但隨著對網路安全要求的提高,軟體安全應該是整個團隊都應有的覺悟。
太多的軟體開發團隊、高管和使用者認為安全只是工具、密碼學、編碼、應用程式和各種硬體裝置。但實際上,這也是一種心態。簡而言之,團隊必須認真考慮安全文化才能構建真正安全的軟體。
沒有什麼比應用程式安全性更重要的了。開發人員必須將風險、威脅和安全規則內部化。但如果他們在不理解的情況下同意這些規則背後的基本原理,他們很可能會遵守法律條文而不是發自內心的去做安全這件事。
1.安全人人有責
開發人員可能是維護安全的最關鍵參與者,這僅僅是因為廣泛使用的應用程式內部的安全漏洞可能會造成廣泛的破壞。然而,安全需要被納入軟體開發生命週期的每一個階段,並由參與其中的每個人參與。
企業需要打破sec dev和ops之間的孤島。簡而言之,讓每個人都瞭解所有參與者都在以自己的方式努力幫助公司蓬勃發展。
2. 聽取參與 SDLC 的人的意見
當企業要求每個人都參與軟體的安全性時,它必須接受這個龐大而多樣的組織提供的關於SDLC安全性過程的輸入和反饋。特別是,如果這個反饋使得軟體獲得了一個改進的機會,幫助開發人員在儘可能不費力的情況下使軟體更加安全。
在可行的情況下,利用 靜態程式碼安全檢測等自動化工具在遭到網路攻擊之前發現和消除問題。以最小化誤報和漏報的方式這樣做,因為這兩者會使開發人員失去對工具的信任和在安全上的價值。使用實時、互動式報告結果的工具,而不是冗長的掃描時間,長掃描時間會降低開發效率。此外,請確保系統不會提供快速過時的靜態資訊。
3. 將培訓方面納入安全計劃
首先,安全工具必須儘可能經常和具體地提供補救建議。更重要的是,程式碼安全檢測應提供完全可見性,不僅針對實際問題,而且針對潛在問題。
其次,投資於高質量的開發人員教育,重點是構建安全軟體的實際方面。這不一定是昂貴的或耗費時間的,因為有大量免費資源可用。建議可以透過OWASP,推動應用安全領域的主要非營利組織,定期釋出的材料來了解網路安全的相關資訊。
4.沒有安全就沒有質量
如果軟體提供未經授權的訪問、洩露敏感資料或與企業中的其他應用程式衝突,如何才能認為軟體是高質量的?
高質量等於高安全性。不要將出色的功能與出色的軟體混淆,這一點至關重要。優秀的軟體幾乎總是會提供出色的功能和易用性,但如果它帶來安全漏洞、停機、訴訟和取證調查,那麼它在現實中將多糟糕?
5. 獲得高層的支援和參與
各級管理人員都需要了解組織的安全目標並熟悉安全軟體流程的投資回報率。這些是 CFO和CEO以及董事會成員所接受的概念。無論軟體是供內部和合作夥伴使用,還是最終產品要對外銷售,使用他們的語言始終是最好的溝通方式。
安全程式碼意味著更快的上市時間、更順暢的銷售流程、更快樂的終端使用者客戶等等。
靜態程式碼安全檢測等自動化工具允許開發人員和運營團隊將更多時間合精力用於構建應用程式中更有趣的部分,這等於在做好安全的同時提高了開發效率。
參讀連結:
https://hdivsecurity.com/bornsecure/five-steps-to-build-a-secure-software-development-culture/
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2838721/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 平臺工程101:Dev、Sec和Ops的自動化黏合劑dev
- 如何打破資料孤島,實現資料治理
- 打破專案管理中的資訊孤島專案管理
- 如何打破資料孤島,實現資料流動與共享?
- 初倪人工之智慧殺手鐧,北大院士打破資訊孤島
- 打破跨部門溝通的資訊孤島,提升協作效率的辦法
- 視覺化大屏怎麼打破資料孤島,整合分析資料?視覺化
- 打破資訊孤島:LeaRun視覺化低程式碼開發平臺視覺化
- 打破資料孤島 希捷攜手夥伴開拓資料新徑界希捷
- OA系統,,融會貫通企業資訊化,打破資訊孤島
- 資料孤島的定義,企業如何應對?
- 安全知識圖譜|構建APT組織圖譜,打破資訊孤島效應APT
- 資料治理:企業如何走出資料孤島?
- 解決資料孤島的鑰匙
- 產業安全專家談丨企業如何應用“聯邦學習”打破資料孤島,助力業務創新?產業聯邦學習
- 眾安保險 CDP 平臺:藉助 Apache Doris 打破資料孤島,人群圈選提速4倍Apache
- 打破生態孤島,國產異構原生AI算力工具問世,來自中科加禾AI
- 達觀RPA+AI打破資訊孤島,助力政務機構實現“一網通辦”AI
- 資料孤島是什麼?為什麼都2022年了還存在資料孤島?
- 物聯網 IOT 裝置如何脫離資訊孤島?
- 資料治理:走出資料孤島
- PLM對解決“資訊孤島”問題的意義和侷限性
- 張巨集江:開源時代如何解決人的思維孤島
- 打破資料孤島,Apache Doris 助力縱騰集團快速構建流批一體數倉架構Apache架構
- 擁抱資訊系統整合,和資訊孤島說拜拜
- 逆變器的防孤島測試效能評估
- 99%基金公司難以消除資料孤島?看Smartbi如何助力破僵局
- 巨杉 x 吉貝克:實時打破資料孤島,湖倉一體打造金融行業資料管理平臺行業
- 為什麼2022年仍然存在資料孤島?
- 2>/dev/null和>/dev/null 2>&1和2>&1>/dev/null的區別devNull
- 《孤島驚魂5》中的地形渲染技術-網格生成
- 如何停止iPhone和Mac之間的切換?iPhoneMac
- 第八大洲環遊記(三):人間勝境紐西蘭,AI孤島or方舟?AI
- 金融業資料治理:從孤島到協同的變革之路
- 實時打通資料孤島有多難?Tapdata 做到了!
- Google、Twitter 和 Spotify 如何建立文件文化 - DEVGodev
- 育碧:《孤島驚魂5》是育碧本世代銷量最高的遊戲遊戲
- 【Linux Ops】如何無痛升級 glibcLinux