“安全即程式碼”目前發展到哪個階段?
谷歌和一些公司正在為軟體新增安全配置,以便雲應用程式和服務有明確定義的安全設定,同時,這也是DevSecOps的關鍵組成部分。
目前,希望提高敏捷性和支援混合工作模式的公司越來越多地採用雲基礎架構,這也使得更多的開發團隊採用“安全性即程式碼”的方式,將安全性構建到軟體和產品中。
在過去一年,谷歌將“安全即程式碼”作為其雲產品的基本組成部分,並在1月份將“軟體定義的基礎設施”確定為推動雲安全的八大趨勢之一。將安全配置編碼為可以作為開發和部署流程輸入的程式碼,可以讓組織分析其安全配置,輕鬆更改和重新部署,並持續監控其安全配置的狀態,以評估其是否匹配策略。
谷歌雲首席資訊保安官表示,這麼做更有利於分析安全配置,並且持續可驗證。
“安全即程式碼”的好處在於,可以清晰瞭解到所部署的配置和所要分析的配置完全對應。此外,“安全即程式碼”是“基礎設施即程式碼”的擴充套件,DevOps 團隊已將基礎架構即程式碼作為構建和部署軟體、容器和虛擬機器的事實上的標準,但現在公司認為,向雲原生基礎架構的轉變將使安全即程式碼成為一種可持續的安全方法。
“安全即程式碼” 是如何工作的
2021年,諮詢公司麥肯錫(McKinsey and Company)認為,在現代企業移動的速度下,安全即程式碼可能是確保雲應用程式和基礎設施安全的唯一方法。這家企業在一份意見書中寫道:在雲端計算中實現價值需要大多數公司建立一個轉型引擎,將雲整合到業務和技術中,在主要業務中優先推動採用,並建立更安全、更經濟的使用雲所需的基礎能力。“SaC是開發雲安全和風險管理基礎能力的機制。”
谷歌希望使這個概念更加實用,併成為任何雲基礎設施的一部分。去年11月,該公司的網路安全行動團隊宣佈了一項風險與合規作為程式碼(RCaC)解決方案。
採用了DevOps的公司知道,可重複的軟體構建依賴於能夠將基礎設施元素的配置(無論是軟體應用程式、管道構建還是容器)指定為檔案中的程式碼。這種將基礎設施作為程式碼的方法允許開發人員和操作專家在部署配置之前分析配置。
“安全即程式碼”的目標是在安全方面做同樣的事情,這種方法被許多人稱為DevSecOps。“安全即程式碼”表示各種元素的安全配置,包括應該執行的安全測試、漏洞掃描的標準、加密需求和訪問控制。
它如何影響軟體材料清單(SBOM)?
谷歌認為目前使用更明確和功能強大的軟體材料清單,是軟體及程式碼在未來的關鍵組成部分。透過使用軟體材料清單,可以在任何構建過程中分析軟體程式的元件,使用容易受到特定威脅(如Log4j)的元件可能會停止構建。
這種機制有利於做出更有彈性的決策,與過去在傳統本地環境中所能做的相比,這種用於執行安全策略的環境可程式設計性是很大的變革。
在建立程式碼時發現並解決問題比在雲中出現問題有效得多。透過這種方式,可以確保預設部署的內容是安全的,並且任何修復都是簡單的合併請求,而不是事後考慮或者補丁。
SAST和SCA這類工具在自動化實現“安全性即程式碼”上發揮著很大作用。大多數企業甚至不知道他們的軟體是由哪些元件組成的,也不清楚所寫程式碼是否規範或者存在安全缺陷。
目前,我們還處於採用“安全即程式碼”的早期階段,基礎設施即程式碼對安全性發展有很大意義,但還沒有完全成熟,很多組織並沒有這種機制。
文章來源:
https://www.darkreading.com/cloud/security-as-code-gains-more-support-but-still-nascent
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2887773/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- PMP考試-團隊發展主要分為哪幾個階段
- 雲端計算安全有哪五個階段?
- 前端開發個人職業發展的四個階段,你處於哪裡?前端
- 軟體測試是如何發展的,分為哪幾個階段?
- 客服系統的三個發展階段
- Java的逐步發展階段!
- 網路安全中攻防演練分為哪5個階段?
- 詳解資料管理發展的5個階段
- 談談目前的安全發展與現狀
- 物聯網的技術發展的三個階段
- 軟體測試職業發展的幾個階段
- [分享]談談目前的安全發展與現狀
- 每到一個階段,都會有一個最火的程式設計師職位,目前就是前端!程式設計師前端
- 網路安全基礎入門_滲透測試包括哪五個階段?
- 資料產品經理職業發展的四個階段
- 目前簡訊驗證碼平臺哪個好用?
- 程式設計師到高階架構師,必須經歷的三個階段!程式設計師架構
- 詳解資料管理髮展的5個階段
- 初學Java的5個階段,你在哪個階段?Java
- 思邁特軟體Smartbi:公安大資料的3個發展階段大資料
- 區塊鏈發展的3個必經階段究竟是什麼區塊鏈
- 工業機器人的發展已經進入到量化生產的階段機器人
- 新階段金融科技發展規劃出爐KGDG
- 開發階段
- 攜程Alchemy程式碼質量平臺:提前在開發階段暴露程式碼問題
- 統一過程(UP)定義了初啟階段、精化階段、構建階段、移交階段和產生階段,每個階段以達到某個里程碑時結束,其中()的里程碑是生命週期架構。 A.初啟階段 B.精化階段 C.構建階段 D.移交階段架構
- Filecoin分散式儲存未來發展四個階段趨勢的預測分散式
- 即學即用的 30 段 Python 非常實用的程式碼Python
- 團隊動力之團隊發展階段理論
- 簡單介紹資料庫技術發展階段!資料庫
- 想要學好java技術,主要分哪幾個階段呢Java
- 再度獲評年度最佳開發商,天美的海外佈局進展到什麼階段了?
- 非同步載入在Vue生命週期哪個階段更合理非同步Vue
- 低程式碼和無程式碼開發的 4 個安全問題
- 應用哪個低程式碼開發平臺好用
- 面試每日一題011:從新手階段到流失階段,遊戲的階段性目標是什麼?面試每日一題遊戲
- Linux學習成長路線上需要經歷哪幾個階段?Linux
- 關於企業什麼發展階段需要上ERP系統?