浅谈企业 DevSecOps 实践:基本原则 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

浅谈企业 DevSecOps 实践:基本原则

申博_安全预警 申博 52次浏览 已收录 0个评论

sunbet

sunbet不同搜索引擎的排名规则算法,sunbet凭借sunbet的正规优化手法为sunbet提供关键词优化、sunbet、整站外包等sunbet服务!

,

Devops 是一个操纵框架,经由历程自动化来增进软件的一致性和规范化。 经由历程突破差别开辟团队之间的停滞,同时经由历程优先斟酌使软件开辟更快更轻易的事变,该框架协助处理了缭绕集成、测试、修补和布置的许多噩梦般的开辟题目。

DevSecOps是将平安团队和平安东西直接集成到软件开辟生命周期中,运用 DevOps 的自动化和效力,确保每一个构建周期都举行运用顺序平安测试。 这增进了平安性、一致性,并确保平安性与其他质量目标或特征一样主要。 自动化的平安性测试,就像自动化的运用顺序构建和布置一样,必需与基本设施的其余部份一同组装。

但这就是题目所在。 软件开辟职员传统上并不支撑平安性。 这并不是因为他们不关心平安题目,而是因为他们被鼓励着去关注新特征和功用的托付。 DevOps 正在转变自动化构建历程的优先级,使它们更快、更轻易和更一致。 然则,这并不意味着他们会特地到场平安或平安东西。 这一般是因为平安东西不轻易与开辟东西和流程很好地集成,一般带有非智能发明的大批行列,而且缺少以开辟为中间的过滤器来协助优先化事情。 更蹩脚的是,平安平台——以及引荐它们的平安专业职员——很难运用,以至没法供应 API 层支撑来供应集成。

另一方面是平安团队,他们畏惧自动化的软件历程,一般会问“我们怎样掌握开辟”如许的题目。 这个题目的实质既疏忽了 DevSecOps 的精力,也疏忽了开辟构造为使每一个软件版本更快、更高效和更一致所做的勤奋。 关于平安团队来讲,应对软件开辟中发作的变化,并扩大他们相对较小的构造的唯一要领,就是变得和开辟团队一样迅速,而且拥抱自动化。

为何我要写这篇文章?

我们一般议论我们做研讨背地的效果,以协助读者明白我们的目的和我们愿望转达的内容。 当我们更新一份研讨报告时,状况就越发庞杂了,因为它有助于我们聚焦近来行业的变化,这些变化致使旧的论文在形貌近来的趋向方面存在不正确或不足的题目。 因为 DevOps 和 DevOps 选项在四年内已相称成熟,所以,关于这一方面我们有许多要谈的。

这项事情将是对我们2015年关于将平安构建到 DevOps 中的研讨事情的严重改写,包含缭绕平安团队讯问的关于 DevSecOps 的常见题目的严重补充,以及对集成东西和要领的完整更新。 这篇研讨论文的大部份内容将反应的是2017年以来财产2000强公司的200多个平安团队的400屡次说话。 因而,我们将包含更多从这些对话中衍生出来的议论要点。 因为 DevOps 已存在了许多年,很少有人议论什么是 DevSecOps 或许它是怎样对我们有益的,更多的是关于怎样组合一个 DevSecOps 顺序的务虚的议论。

如今,让我们转变一下。

差别的核心,差别的代价

有大批的新的调查和研讨论文可用,个中一些是异常好的。 另有更多的集会和在线资本出现出来,资本多到我都数不过来了。 比方,Veracode 近来宣布了他们的软件平安状况(SoSS)报告的最新版本,这份报告是一个大部头读物,带有大批的数据和视察。 症结的要点是 DevSecOps 团队运用的灵活性和自动化供应了显著的平安上风,包含更快的修补周期,更短的缺点延续时刻,更快的削减手艺债权,以及更轻易的扫描意味着更快的题目辨认。 近来宣布的2019年软件供应链状况报告显现,团队表明,榜样项目团队运用 DevOps 准绳大大降低了代码布置失败率,弥补破绽的时刻只要平均水平的一半。 我们另有像全天 DevOps 如许的活动,数以百计的 DevOps 从业者在这里分享关于文明转型、延续集成 / 延续布置(CI: CD)手艺、站点 / 牢靠度以及 DevSecOps 的故事。 所有这些都很棒,而且供应了一系列定性和定量的数据来讲明为何 DevOps 事情以及从业职员是怎样演化他们的顺序的。

这不是这篇文章的主题。 这些资本并没有处理我每周都被问到的题目。

注重,本文是关于整合一个周全的 DevSecOps 顺序。 因为我们老是被问到“我怎样把一个 DevSecOps 顺序组合在一同? ” 以及“平安性与 DevOps 有什么关系? ” . 他们不是在寻觅正当来由,也不是在寻觅关于细微差别的故事来处理详细的停滞。 他们须要一个与偕行构造坚持一致的平安顺序,并拥戴“平安最好实践”。 这些受众绝大多数是平安和 IT 从业者,很大程度上被开辟团队所忘记,他们最少接收了迅速观点,假如不是完整接收 DevOps 的话。 面对的应战是明白开辟试图完成什么,以某种体式格局与这些团队集成,并弄清楚怎样运用自动化平安测试,使其最少像开辟团队一样迅速。

DevOps vs DevSecOps

这就引出了另一个有争议的话题,以及为何这项研讨异乎寻常: DevSecOps 这个名字。 我们的论点是,鉴于在这个题目上缺少成熟和明白,挪用平安性(“ DevSecOps”中的“ Sec”)是必要的。

换句话说,完整支撑这一活动的 DevOps 实践者会通知你,没有来由在 DevOps 中到场 Sec,因为平安只是另一个要素。 DevOps 的抱负是突破单个团队之间的隔膜(比方: 架构、开辟、 IT、平安和 QA) ,以更好地增进团队协作,更好地鼓励每一个团队成员朝着雷同的目的行进。 假如平安性只是融合在构建和托付软件的整体事情中的另一组妙技,那末我们就没有来由称之为质量保证。 从哲学上讲,这些支撑者是对的。 实际上,我们还没有到谁人田地。 开辟职员可以会接收这个主意—- 他们一般不善于增进团队集成。 固然,平安是可以自在介入的,但这取决于他们相识在那里可以集成,并一般请求将他们可以不具备的妙技带到聚会上。 这是被动攻击型的团队建立!

自动化的平安性测试,就像自动化的运用顺序构建和布置一样,须要时刻和妙技来构建。 在我们与客户的典范商定中,开辟职员不介入挪用。 不合依然存在,平安性和一般有几十到几百个疏散的开辟团队之间几乎没有交换。 当开辟职员在场时,他们声明平安团队可以建立剧本,将平安测试集成到构建服务器中; 他们可以编写平安战略; 平安可以将平安剖析东西与毛病检测以及几行 python 代码的器量连系在一同。 毕竟,许多 IT 从业者正在进修为组态治理编写剧本,并构建模板来定义基本设施布置,那末为何不供应平安性呢? 这完整疏忽了一个现实,即很少有平安从业职员可以在这个级别编写代码。 更蹩脚的是,与我们攀谈的大多数公司的开辟职员与平安从业职员的比例约为100:1,而且基本没有办法在所有开辟项目中扩大平安资本。

许多平安专家在明白 DevOps 的初期阶段,以及开辟职员在过去十年中为了变得越发迅速而采纳的种种要领,这些都杯水车薪。 平安确切落后于情势,而且好像现有的大部份研讨(上文提到的)并不是为了处理平安的引入和整合题目。

回顾斯诺登泄密事件:写在《永久的证据》出版之际

作者简介: 马修·D·格林(Matthew Green)是美国知名的密码学家和安全技术专家,也是约翰霍普金斯大学信息安全研究所的计算机科学教授。他曾参与过揭露 RSA BSAFE、Speedpass 和 E-ZPass 的漏洞的组织。 2013年 9 月,格林曾发表了一篇名为《论美国国家安全局》(On the NSA)的博客文章,对美国国家安全局削弱密码学的计划进行了总结和推测。这在当时引起了极大的争议,因此该文章被

末了,我们挑选运用 DevSecOps 称号另有一个异常主要的缘由: 代码平安方面的平安事情与基本设施和支撑组件的平安事情异常差别。 用于考证运用顺序代码的平安性搜检是平安的(即: DevSec) ,但与运用的东西和历程差别,它们用于考证支撑基本架构(即: SecOps)是平安的。 这是两个差别的规程,具有差别的东西和要领,应当作为零丁的事情举行议论。

常见题目

我们搜检了过去三年所有的电话纪录,并纪录了我们被问到的题目。 下面的列表是最常见的题目,按题目被问到的频次排序以下。

· 我们愿望将平安性测试集成到开辟管道中,并将从静态剖析最先。 我们该怎么做?

· 我们怎样依据自动化、 CI: CD 和 DevOps 构建运用顺序平安战略?

· 怎样最先构建一个运用顺序战略? 我应当遵照什么运用顺序平安规范?

· 开辟部门天天都在向临盆环境宣布代码。 我们怎样掌握开辟? 我们真的可以转变开辟职员的行动吗?

· 引入 DevSecOps 的最好体式格局是什么? 我该从那里最先呢? 最基本的部份是什么?

· 当如今有些是瀑布式的,有些是迅速的,有些是 DevOps 的时刻,我们怎样让差别的单元采纳同一个顺序(差别的团队做事变的体式格局差别) ?

· 我们(平安)应当怎样与开辟职员一同事情?

· 我们明白左移,然则这些东西有用吗? 你发起从哪些东西最先呢?

这些题目都有一些配合的线索; 它们都来自最少有一些 DevOps 团队已到位的公司,平安部门对 DevOps 的企图有一些相识,然则它们都是从零最先的。 纵然已在开辟管道中内置了平安测试的团队也在为每一个东西供应的代价、开辟职员关于误报的抵牾、怎样与开辟职员协作或许怎样在多个开辟团队之间举行扩大以坚持一致性而苦苦挣扎。 我们发明,在挪用和商定时期,平安职员与开辟职员接收 DevOps 的缘由并不完整一致,而且错过了事情的重点,这就是为何它们一般差别步的缘由。

以下是我们提出的平安性题目清单,平安团队应当问这些题目,然则没有处理。

· 我们在文明上和操纵上怎样顺应 DevSecOps?

· 我们该怎样使开辟和开辟实践具有可见性?

· 我们怎样晓得变化是有用的? 我们应当网络和监控哪些目标?

· 我们该怎样支撑开辟部门?

· 我们须要晓得怎样编码吗?

在本系列课程中,我们将议论这两个题目列表。 接下来,我们将扼要引见 DevOps 准绳和平安在 DevOps 中的作用。

本文翻译自:http://securosis.com/blog/14996


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明浅谈企业 DevSecOps 实践:基本原则
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址