日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

前言

隨著業(yè)務更新迭代速度加快，對客系統(tǒng)增多，大部分企業(yè)因安全資源有限等原因，在信息系統(tǒng)開發(fā)生命周期中往往忽略了安全活動，或者僅在運行階段才開展安全活動，造成多種問題難以解決：

公司主營業(yè)務：網(wǎng)站設(shè)計制作、做網(wǎng)站、移動網(wǎng)站開發(fā)等業(yè)務。幫助企業(yè)客戶真正實現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競爭能力。成都創(chuàng)新互聯(lián)公司是一支青春激揚、勤奮敬業(yè)、活力青春激揚、勤奮敬業(yè)、活力澎湃、和諧高效的團隊。公司秉承以“開放、自由、嚴謹、自律”為核心的企業(yè)文化，感謝他們對我們的高要求，感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)，讓我們激情的團隊有機會用頭腦與智慧不斷的給客戶帶來驚喜。成都創(chuàng)新互聯(lián)公司推出萬秀免費做網(wǎng)站回饋大家。

安全問題暴露時間長

大部分企業(yè)信息安全人員工作更多的是應急處理信息系統(tǒng)運行時出現(xiàn)的安全問題，屬于事后的安全問題處理，未在信息系統(tǒng)建設(shè)開始時實施相關(guān)安全活動使安全問題較早解決。安全活動滯后，增加了信息系統(tǒng)安全問題的暴露時間。

安全問題整改成本較高

目前企業(yè)的安全人員通常是在系統(tǒng)上線或運行時才開始介入安全活動，安全問題在此階段被集中發(fā)現(xiàn)。由于漏洞多是在上線前一刻或者運行時被發(fā)現(xiàn)，安全問題數(shù)量往往較多，而且此階段對安全問題進行整改，需重新安排人力和時間，增加了安全問題的整改成本，影響了信息系統(tǒng)上線進度。

安全活動無重點

企業(yè)信息資產(chǎn)較多，安全工具自動化不足或集成程度不高，信息安全人員較多沉浸在資產(chǎn)的日常安全維護中，讓信息安全人員處于非常被動狀態(tài)中。實施安全活動無計劃，無重點，不成體系化，而且實施效果不盡人意。

安全人員力不從心

企業(yè)專職安全人員非常有限，在安全上的人力投入無法和互聯(lián)網(wǎng)公司相比，但卻又和互聯(lián)網(wǎng)公司面臨一樣的安全風險。再加上行業(yè)監(jiān)管要求高，在眾多風險面前，往往讓安全人員力不從心。

"速度"和風險難以平衡

開發(fā)交付團隊，甚至管理層過度地強調(diào)“速度"，隨著發(fā)布速度和頻率不斷增加，傳統(tǒng)的應用程序安全團隊無法跟上發(fā)布的步伐，以確保每個發(fā)布都是安全的。

為了解決這個問題，企業(yè)需要在開發(fā)過程中每個階段持續(xù)構(gòu)建安全性，以便DevOps團隊能夠快速、高質(zhì)量地交付安全的應用程序。越早地將安全性引入到工作流中，就能越早地識別和彌補安全性缺陷和漏洞。這個概念是“shiftleft”的一部分，它將安全測試轉(zhuǎn)移給功能測試人員甚至是開發(fā)人員，使他們能夠幾乎實時地修復代碼中的安全問題。通過DevSecOps，企業(yè)可以將安全性無縫地集成到他們現(xiàn)有的持續(xù)集成和持續(xù)交付(CI/CD)實踐中。

DevOps?

在了解DevSecOps前，讓我們先來了解一下DevOps。

DevOps由三個部分組成：組織文化、流程、技術(shù)和工具，幫助開發(fā)和IT運營團隊以一種比傳統(tǒng)軟件開發(fā)過程更快、更敏捷、更迭代的方式構(gòu)建、測試和發(fā)布軟件。

根據(jù)DevOps手冊，“在DevOps的理念中，開發(fā)人員會收到關(guān)于他們工作的快速、持續(xù)的反饋，這使他們能夠快速、獨立地實現(xiàn)、集成和驗證他們的代碼，并將代碼部署到生產(chǎn)環(huán)境中。

簡單來說，DevOps就是要消除兩個傳統(tǒng)的豎井團隊(開發(fā)和運營)之間的障礙。在DevOps模型中，開發(fā)和運營團隊在整個軟件應用生命周期中共同工作，從開發(fā)、測試、部署到運營。

DevSecOps是什么?why?

DevSecOps是Gartner 2012年在一份報告中提出的概念，是應用程序安全(AppSec)領(lǐng)域的一個相對較新的術(shù)語。它通過在DevOps活動中擴大開發(fā)和操作團隊之間的緊密協(xié)作，將安全團隊也包括進來，從而在軟件開發(fā)生命周期(SDLC)的早期引入安全。

DevSecOps意味著安全是每個人的共同責任，每個參與SDLC的人都在將安全性構(gòu)建到DevOps CI/CD的工作中發(fā)揮作用。

DevOps關(guān)注的是應用交付的速度，而DevSecOps通過盡可能快地交付盡可能安全的應用來提高速度和安全性。

Devops為開發(fā)團隊帶來更快、更好的協(xié)作，可以在幾天到幾周內(nèi)交付和部署軟件，然而快速創(chuàng)新與安全性的沖突，讓安全性成為Devops的瓶頸。

DevSecOps(DevOps+Sec=DevSecops)通過在DevOps流程的每個階段或檢查點構(gòu)建安全性來消除DevOps和信息安全之間的障礙，從而更快更安全地生成高質(zhì)量的代碼。

根據(jù)DevSecOps的理念，企業(yè)應將安全集成到DevOps生命周期的每個部分，包括初始、設(shè)計、構(gòu)建、測試、發(fā)布、支持、維護等等。在DevSecOps中，安全是DevOps價值鏈中每個人的共同責任。DevSecOps涉及開發(fā)、發(fā)布管理(或運營)和安全團隊之間持續(xù)的、靈活的協(xié)作。 ·

DevSecOps可以更早地、有目的地將安全性融入SDLC中，如果開發(fā)組織從一開始就將安全性考慮在代碼中，那么在漏洞進入生產(chǎn)環(huán)境之前或發(fā)布之后發(fā)現(xiàn)并修復它們會更容易，成本也更低。

DevSecOps工具

DevSecOps工具是整個DevSecOps的核心。它通過掃描開發(fā)代碼、模擬攻擊行為，從而幫助開發(fā)團隊發(fā)現(xiàn)開發(fā)過程中潛在的安全漏洞。

從安全的角度來看，DevSecOps工具可以劃分為以下四類：

靜態(tài)應用安全檢測工具(SAST)

靜態(tài)應用程序安全測試(Static Application Security Testing，SAST)技術(shù)通常在編碼階段分析應用程序的源代碼或二進制文件的語法、結(jié)構(gòu)、過程、接口等來發(fā)現(xiàn)程序代碼存在的安全漏洞。SAST主要用于白盒測試，檢測問題類型豐富，可精準定位安全漏洞代碼，比較容易被程序員接受。但是其誤報多，耗費的人工成本高，掃描時間隨著代碼量的增多顯著增長。相關(guān)的工具有：Checkmarx,Fortify,代碼衛(wèi)士等。

動態(tài)應用安全檢測工具(DAST)

動態(tài)應用程序安全測試(Dynamic Application Security Testing)技術(shù)在測試或運行階段分析應用程序的動態(tài)運行狀態(tài)。它模擬黑客行為對應用程序進行動態(tài)攻擊，分析應用程序的反應，從而確定該Web應用是否易受攻擊。這種工具不區(qū)分測試對象的實現(xiàn)語言，采用攻擊特征庫來做漏洞發(fā)現(xiàn)與驗證，能發(fā)現(xiàn)大部分的高風險問題，因此是業(yè)界Web安全測試使用非常普遍的一種安全測試方案。但是由于該類工具對測試人員有一定的專業(yè)要求，大部分不能被自動化，在測試過程中產(chǎn)生的臟數(shù)據(jù)會污染業(yè)務測試數(shù)據(jù)，且無法定位漏洞的具體位置等特點，不適合DevSecOps環(huán)境使用。相關(guān)工具有：AWVS、Burpsuite、OWASP ZAP等。

交互式應用安全檢測工具(IAST)

交互式應用程序安全測試(Interactive Application Security Testing)是2012年Gartner公司提出的一種新的應用程序安全測試方案，通過在服務端部署Agent程序，收集、監(jiān)控Web應用程序運行時函數(shù)執(zhí)行、數(shù)據(jù)傳輸，并與掃描器端進行實時交互，高效、準確的識別安全缺陷及漏洞，同時可準確確定漏洞所在的代碼文件、行數(shù)、函數(shù)及參數(shù)。IAST相當于是DAST和SAST結(jié)合的一種互相關(guān)聯(lián)運行時安全檢測技術(shù)。IAST的檢測效率、精準度較高，并且能準確定位漏洞位置、漏洞信息詳細度較高。但是其部署成本略高、且其無法測試業(yè)務邏輯漏洞。相關(guān)的工具有：Contrast Security、默安IAST、懸鏡等。

開源軟件安全工具(FOSS)

現(xiàn)在很多開源軟件安全工具已經(jīng)比較成熟了，比較著名的有：X-ray、Sonatype IQ Server、Dependencies Check等。

一般情況下，選用功能齊全的IAST或DAST即可解決大部分安全問題，想要進一步左移，可繼續(xù)推進SAST和FOSS的建設(shè)，將漏洞發(fā)現(xiàn)提前到開發(fā)階段。

這里有一點需要提一下，工具解決的只是通用漏洞方面的問題，對于邏輯比較強的邏輯漏洞，例如0元支付這類邏輯漏洞，則需要上線前的人工安全測試去發(fā)現(xiàn)和解決，或者在設(shè)計階段通過安全需求進行規(guī)避。

DevSecOps具體實踐

DevSecOps的關(guān)鍵在于CI/CD流程的安全嵌入，筆者根據(jù)實踐經(jīng)驗，繪制了DevSecOps自動化安全測試流程圖如下，供大家參考。

在需求分析階段，將需求管理平臺Confluence接入JIRA，由JIRA獲取到需求和任務排期，向開發(fā)人員下達開發(fā)任務。在系統(tǒng)開發(fā)之前，為保證應用的安全，可對開發(fā)人員進行信息安全知識培訓和必要的安全編碼技能的培訓，此處可利用一些在線的課程、或者在線安全平臺：Secure Code Warrior。在安全培訓周期方面，要全方位、多角度的，既有新人初期培訓，也有周期性的培訓，還要密切觀察開發(fā)人員出現(xiàn)的問題并及時給予有針對性的專題培訓，方便研發(fā)人員在了解漏洞原理之后，能寫出高質(zhì)量、安全的代碼。

開發(fā)人員接收到JIRA下發(fā)的開發(fā)任務，根據(jù)《編碼安全指南》，進行系統(tǒng)開發(fā)。在開發(fā)階段，通過在IDE中引入開源組件&內(nèi)部依賴組件安全掃描。若發(fā)現(xiàn)風險組件，通過同步到JIRA通知開發(fā)人員。在系統(tǒng)開發(fā)完成之后，開發(fā)人員通過GIT/SVN將代碼提交到代碼倉庫。當代碼被提交到代碼倉庫之后觸發(fā)SAST進行增量源代碼安全掃描，并將風險同步到JIRA。除此之外SAST也會對代碼倉庫進行周期巡檢。這里，可將安全編碼基線要求配置成為源代碼安全檢查工具掃描規(guī)則，使通過源代碼安全工具掃描的源代碼，確保其能夠符合安全編碼要求。

在代碼完成自動構(gòu)建時，自動對構(gòu)建代碼進行安全掃描，若掃描發(fā)現(xiàn)缺陷，將缺陷信息同步至JIRA，由JIRA推送至研發(fā)人員，同時終止流水線作業(yè)。待研發(fā)人員完成缺陷修復后，再新重啟發(fā)起自動發(fā)布流水線。為減少因源代碼缺陷導致流水線頻繁中止重啟，建議在編碼過程，每日代碼歸并時自動開展源代碼安全掃描，在發(fā)布前發(fā)現(xiàn)并修復代碼中存在的缺陷。

在測試階段，利用交互式安全檢測工具在單元測試、回歸測試時，自動收集測試流量，針對測試流量進行分析和自動構(gòu)建漏洞測試請求，在開展功能測試的同時，即可完成安全測試。若發(fā)現(xiàn)漏洞可實時同步到JIRA，并由JIRA將漏洞信息推送研發(fā)團隊。

總結(jié)

DevSecOps是組織文化、流程和技術(shù)的統(tǒng)一。如何有效落地離不開這三個方面的內(nèi)容：

組織文化

人和文化特別重要，DevSecops的落地不僅需要上級領(lǐng)導甚至最高領(lǐng)導的重視和投入，還需要業(yè)務團隊對安全的重視，“自上而下”而不是“自下而上”，在落地過程中和不同部門的團隊協(xié)作也是非常重要的。

工具鏈的建設(shè)

工具鏈建設(shè)是整個DevSecOps的核心。軟件開發(fā)是一個復雜的問題，需要DevSecOps提供相應的自動化工具支持，關(guān)鍵是CI/CD流程的安全嵌入。

流程和體系的建立

傳統(tǒng)的IT治理模型、流程不適合跨團隊協(xié)作。如何解決各個開發(fā)團隊之間的溝通、協(xié)作，需要結(jié)合自己的業(yè)務情況去制定。

網(wǎng)頁標題：淺談如何有效落地DevSecOps
轉(zhuǎn)載來源：http://m.5511xx.com/article/cdsoeeh.html