CISO 如何在CI/CD環境中維護安全

zktq2021發表於2022-08-25

如今,DevOps已經成為一種趨勢。敏捷開發和釋出可以幫助公司快速解決客戶問題和市場創新需求。

在傳統開發流程中,安全團隊和開發人員分開工作,在軟體釋出週期的預定時間進行安全工作。但這種方式對於敏捷開發來說並不適用,安全審計成為軟體釋出過程中的障礙。

鑑於資料洩露的嚴重後果,安全性已成為產品首要考慮的問題之一。組織需要將安全性與敏捷開發結合起來,首席資訊保安官為實現安全整合的敏捷開發機制可以如何做?

優先進行機器ID驗證

傳統的身份管理協議優先考慮人的身份驗證。使用者id和密碼占主導地位。然而,自動化主導了DevOps協議,因此,機器ID主導了ID驗證領域。

敏捷的安全方法首先保護系統不受未經授權的計算機訪問。透過在組織中使用微服務、基於雲的容器和其他自動化過程,機器被交織到現代應用程式中。考慮到安全性與開發之間的距離,大多數應用程式無法保護和驗證訪問敏感機密的機器ID。因此,在處理身份安全問題時,CISO優先考慮機器ID驗證。

提高安全性和開發協作

在傳統流程中,開發人員和安全團隊彼此孤立。目前,DevOps優先考慮快速釋出程式碼,並且不包括安全性,因此,安全與開發的時間線不同,產生了不必要的摩擦。

安全性成為CI/CD管道中不可分割的一部分。Jira等工具促進了所有團隊之間的交流。例如,安全團隊可以檢視釋出時間表,並消除程式碼驗證過程產生的摩擦。諸如預先驗證安全性的程式碼模板、從頭實施安全性的編碼標準,使用對預釋出程式碼進行健壯性測試及安全測試的自動化測試工具。此外,安全團隊還可以檢查和預驗證開發環境,以確保程式碼可移植性不會帶來任何潛在的安全風險。

監控配置更改

DevOps環境優先考慮快速釋出和反饋管理。因此,經常會發生配置更改,在快速釋出環境中,配置變更導致了一些安全風險。CISO採用日誌記錄和審計工具有助於追蹤和管理問題。

將安全引入敏捷開發是一項艱鉅的任務,需要敏捷開發團隊和安全團隊的共同協作和努力,構建一個具備安全性的CI/CD 管道,開發更安全的產品。



https://www.helpnetsecurity.com/2022/08/25/how-cisos-can-safeguard-security-in-ci-cd-environments/


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2912038/,如需轉載,請註明出處,否則將追究法律責任。

相關文章