使用 DevSecOps 優先考慮產品安全性
對於組織來說,構建具有強大安全性的軟體不再是事後的想法。事實證明,在全球各地各行各業不斷受到攻擊的情況下,可靠網路安全態勢的需求至關重要。對於大多數公司來說,特定於產品的安全是重要的,一個成功的產品安全實踐需要與工程團隊(DevSecOps )的精神相結合。
它包括首先建立一種安全文化,讓所有利益相關者瞭解優先順序、策略和業務價值。其次,團隊將安全性與軟體開發生命週期(SDLC)整合。僅僅左移是不夠的,組織需要將思維從左移轉變為無處不在。最後,始終監控產品系統是不容置疑的。
成功的實踐始於文化
在建立強大的文化時,目標是使整個工程團隊成為使命的一部分。這包括建立一個產品安全團隊來支援工程需求,並提供持續教育,提供可用於解決任何可能性的資源。
雖然每個組織都有自己獨特的需求、注意事項和建立產品安全團隊的方法,但建議使用以下五個角色:
1. 技術產品經理(TPM):負責推動規劃中的安全優先順序
2.安全架構師:確保架構和設計包含安全流程
3.AppSec 工程師:負責實施安全開發生命週期
4.對抗工程師:發現攻擊面以識別弱點
5.安全衛士:來自每個Scrum團隊的工程師,他們有興趣在安全基礎知識方面為其團隊提供支援,有助於擴充套件整體產品安全工作。
建立和執行安全教育計劃對於贏得員工內心也至關重要。
將安全性整合到 SDLC 中
從高層次來看,所有 SDLC 都包括計劃、開發和釋出,每個階段都應有自己的一套安全控制。
計劃:產品安全TPM負責與產品管理團隊合作,確定安全優先順序——從風險降低、執行優先順序、客戶請求、安全發現和法規要求等來源獲得。確定什麼是重要的。
開發:在開發階段,許多重要的產品安全提升都發生在開發階段,包括實現威脅建模、安全基線和自動掃描。
威脅建模:識別系統中潛在威脅的過程。一旦確定,威脅建模團隊就可以建立緩解措施,並將結果整合到滲透測試中,以驗證威脅沒有實現。在架構階段,在編碼開始之前測試模型是最有效的,以避免返工和打補丁。
安全基線:團隊應建立完全修補的安全映像,滿足安全策略並預安裝強制性安全代理。對作業系統映像和容器執行此操作允許開發人員“免費”獲得一定程度的安全性,並避免持續的安全審查。基線應自動更新並流入 CI/CD 系統。
自動掃描:為了跟上敏捷流程,掃描應該是自動化的,並且有較低的誤報率。事實上,最好是少報告一些問題,而不是用很多噪音來干擾可信度。持續調優將增加保真規則集,有用的工具包括 靜態應用程式安全測試(SAST)、軟體組成分析(SCA)和動態應用程式安全測試(DAST)。自動化對於保護使用CI/CD開發過程的應用程式至關重要,並且在程式碼推送時提供安全性是無法估算的,開發人員可以獲得即時反饋,而不是在可能忘記重要上下文的幾周後再來修補這些問題。
來源:
https://devops.com/prioritizing-product-security-with-devsecops/
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2929524/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- YouGov:52%的中國人優先考慮應用的安全性Go
- 優先考慮型別安全的異構容器型別
- 效能永遠不是優先考慮的問題
- 企業需要優先考慮移動統一通訊
- Bazaarvoice:2/5的歐洲消費者優先考慮環保問題
- 為什麼企業選擇ERP系統時會優先考慮SAP?
- AI並非無所不能,製造業數字化轉型優先考慮成本AI
- 為什麼模切企業選擇ERP系統會優先考慮點晴?
- Setapp:57% 的 Mac 使用者在購買新應用程式的時候會更優先考慮安全APPMac
- DevSecOps 運維模式中的安全性dev運維模式
- DevSecOps 提升安全性的五種方式dev
- 為什麼模切企業選擇ERP系統時會優先考慮點晴
- YouGov:半數美國人認為政府購車計劃應優先考慮排放量Go
- 給DevOps加點料——融入安全性的DevSecOpsdev
- DevSecOps優勢有哪些dev
- 產品經理如何緩解當下的焦慮?
- Visual Components 產品的優勢
- 阿里雲E-MapReduce產品優勢及使用場景阿里
- Scrum Mastery:產品開發中如何優化產品價值?ScrumAST優化
- 優秀產品經理 Vs. 偉大產品經理
- 巴西政府將考慮減少對科技產品的進口稅 包括電子遊戲產品遊戲
- 進一步向左轉移安全性:DevSecOps是否將變成SecDevOps?dev
- 如何進行遊戲使用者體驗產品化調優遊戲
- [產品經理之路] 0:持續優化著世界的產品經理優化
- 如何優化產品開發過程?優化
- 程式設計師維護老產品,閒的焦慮,怎麼辦程式設計師
- 自走棋手遊前瞻:產品優先or市場優先?
- 我們為什麼需要 DevSecOps 和製品倉庫?dev
- 中戲開設“戲劇人工智慧”專業,首招2名博士生!優先考慮對戲劇感興趣的理工考生人工智慧
- 如何成為優秀的產品經理
- 記一次公司產品「負」優化優化
- 雲原生資料庫 TDSQL-C 產品概述、產品優勢、應用場景資料庫SQL
- 面向企業的 DevSecOps 的優勢和挑戰dev
- 遊戲產品如何做優化(一) :找準目標使用者遊戲優化
- 優質的色環電感產品怎麼生產?S
- PIGOSS提高自身產品安全性、廣泛適配國產化環境,保障運維管理安全可控Go運維
- OpenAI是什麼 OpenAI有哪些優秀產品OpenAI
- 產品型公司的“偽產品”?