實施DevOps安全策略清單
DevOps安全意味著將安全策略直接整合到DevOps管道中,建立一種預先保護軟體的部署文化。但這也需要在操作策略和安全思維上進行改變,將安全視為DevOps生命週期的部分。
以下是DevOps安全策略清單,供開發團隊更快地交付安全可靠的應用程式:
1. 分析您的開發過程是否存在安全隱患。
實施 DevOps 安全策略的第一步是查詢並修復現有開發流程中的漏洞。
例如,持續交付和開發是DevOps的關鍵。但是,如果每個更改都沒有經過程式碼審查,則有可能導致應用程式存在安全隱患。
2. 在開發和安全團隊之間建立共同目標。
開發人員和安全團隊的傳統角色可能看起來像是處於十字路口,開發人員編寫程式碼,安全團隊發現他們程式碼中的問題。然而,在DevOps的協作環境中,安全和開發需要攜手合作,為使用者交付安全的應用。
3. 在開發階段整合安全工具。
自動化是保證DevOps安全的重要手段。將安全掃描工具靜態程式碼檢測、開源元件分析等工具整合到開發工作流中對整個過程至關重要。
自動化安全檢測工具可以掃描程式碼、網路和基礎設施,以識別安全漏洞並提供修復建議。透過使用工具,開發團隊可以在將問題傳遞給安全團隊進行最終檢查之前自己修復一些安全問題。
4. 向管道新增可觀測性。
DevOps 操作的分散式特性的最大挑戰之一是可見性。如何有效地監控分佈在多個不同位置的大量操作節點?
可觀察性透過使用日誌、指標和跟蹤(即透過應用程式的輸出來確定內部應用程式執行狀況)來實現。透過可觀測性工具可以更深入地瞭解系統的執行情況,並確定任全問題的確切細節。
5. 以較小的增量單位進行更改。
在小單元中測試程式碼並將其部署為較小但增量的更改,比處理大型且笨拙的單塊程式碼要容易得多。漸進式部署更改意味著可以更快地解決漏洞。
6. 掃描並保護整個 DevOps 管道。
DevOps流程中的很大一部分安全隱患來自不安全的容器和操作節點。根據ThreatStack的一項研究,94%的組織表示容器存在著安全風險。但是,風險不僅限於容器。其他服務(如 API)、第三方工具(如 Docker)和匯入的程式碼會給流程帶來潛在的安全風險。因此有必要定期掃描所有操作節點以查詢漏洞。
透過實施以上幾點,有助於組織保持更堅實的安全基礎。但DevOps安全性不是一次性的過程。組織需要不斷地將安全協議整合到DevOps生命週期的每個部分中,並對員工進行安全培訓。
來源:
https://devops.com/devops-security-your-complete-checklist/
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2953259/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- DevOps落地實施要有哪些支柱?dev
- DevOps實施手冊 在多級IT企業中使用DevOpsdev
- 將DevOps視為哲學——實施DevOps的絕佳方式dev
- 清軟英泰PLM實施經驗談
- 切忌一步到位,談談DevOps實施落地dev
- 荷蘭銀行實施大規模DevOps經驗dev
- 免費直播 | DevOps 道法術器3.0,立體化實施框架與實踐dev框架
- Azure DevOps(二)利用Azure DevOps Pipeline 構建基礎設施資源dev
- DevOps最佳實踐“建設單一可信源”dev
- Docker CheatSheet | Docker 配置與實踐清單Docker
- 《WebAssembly實戰》資源連結清單Web
- 新炬網路亮相Gdevops峰會,助力傳統企業DevOps實施落地dev
- DevOps實戰dev
- DevOps實踐dev
- Vscode 配置清單VSCode
- 檢測清單
- 待完成清單
- 實戰專案 10: 貨物清單應用
- ArgoCD實踐之基於配置清單建立ApplicationGoAPP
- GitOps—用於基礎設施自動化的DevOpsGitdev
- 軟體實施:別把我想簡單了
- 2018讀書清單
- 旅行必備清單
- DevOps 實踐指南dev
- linux常用軟體清單Linux
- Docker Compose 備忘清單Docker
- Django 2.2 新特性清單Django
- 24年讀書清單
- CSS 樣式清單整理CSS
- 常用的Git命令清單Git
- 一份python實用”技巧“清單(按字母順序)Python
- 最全最實用的人工智慧AI資源清單人工智慧AI
- Go 語法速覽與實踐清單(V0.5)Go
- 2、安全策略
- 《小程式開發原理與實戰》資源連結清單
- MySQL實施文件MySql
- ES2018 新增特性清單
- Mac極簡軟體清單Mac