Synopsys:以DevOps的速度创建安全的软件
现代软件开发具有更多的代码,语言,平台和部署选项。 DevOps需要自动化才能最大化速度。
这些都意味着更多的安全风险。因此,DevSecOps开始受到关注,并且安全管理的整个生命周期都从软件开发的早期阶段开始执行。
该“ 2020 DevSecOps实践和开源管理报告” Synopsys最近发布的数据显示,DevSecOps在全球范围内正在快速增长。总计63%的受访者表示,他们正在将一些DevSecOps活动纳入其软件开发计划中。
那么,如何在DevOps中设置安全性呢?从DevSecOps到DevSecOps的过渡极具挑战性。一方面,尽管当前的安全团队主要独立地负责安全,但是开发团队也逐渐参与并共同负责安全和预算,从而使安全成为开发过程中不可或缺的一部分;另一方面,开发团队正在采用自动化和持续改进流程以优化速度并实践DevOps。
许多团队缺乏全面的计划,而忽略了风险管理。团队没有采取审慎周到的方法来提高安全性,而是陷入了僵局。
该团队试图使一切运行得足够快以跟上DevOps的步伐,但是信息量如此之大,以至于他们不知道从哪里开始改进流程。在不影响速度的情况下为DevOps添加安全性。
从降低风险的角度来看,整体上解决安全问题的最佳方法是什么?答案是更有效的自动化。开发人员不必在每次更改代码时都进行全面扫描,而是根据上下文使用智能测试并确定要运行的内容,时间和方式。
逐步提高安全性让我们看一下软件开发中安全性测试的典型发展。也许首先要部署静态应用程序安全测试(SAST)。
仅分析集成就有很多可能性:·分析每个提交·分析每个推送请求·分析主要版本·选择分析检查器·配置分析检查器接下来,您决定进一步提高安全性,添加软件组成分析( SCA)。您可以将其单独集成到管道中,但是还有许多其他选项:·扫描应用程序·扫描部署容器·选择扫描粒度和其他配置选项·确定常见漏洞披露(CVE)并发布违反策略的组件·确定CVE通用漏洞评分系统(CVSS)中已发布组件的分数·确定具有高操作风险的组件·确定具有某些许可风险的组件·将扫描结果摘要上载至风险跟踪系统·有关不符合要求的每个组件的信息需求发送到风险跟踪系统以将该策略作为代码策略,这一点很重要。
要求所有应用程序开发团队使用静态分析是一种简单但无效的软件安全策略。更有效的策略应指定要使用的工具,所需的配置,最重要的是,在发布应用程序之前需要所需的结果类型。
阐明策略的一个好方法是采用机器可读文件的形式,有时称为代码(我实际上没有称其为代码;它实际上是配置文件,可能是JSON或YAML)。 DevSecOps中安全层的关键功能。
该“策略”包括:这里描述了应该执行哪些测试,需要什么结果(或停止构建或部署),将什么结果发送到常规问题跟踪系统以及需要进行哪些合作。定期活动等。
可以有多种策略,每种策略都反映不同类型的应用程序和不同类型的风险状况。根据策略的规定对开发管道中的特定事件执行相应的测试,但针对项目的当前状态进行了优化。
安全层处理和工具集成。与安全层的轻量级集成发生在特定事件(例如合并请求)上。
安全层旨在简化集成。什么时候应该进行安全保护?如果有代码仓库提交或代码仓库合并请求,则管道将要求安全层执行安全测试。
安全层可以发挥一些强大的魔力,我们称之为智能业务流程。首先,它指的是了解哪种安全测试合适的策略。
根据该策略,安全层可以优化测试的执行方式。例如,如果开发人员刚刚对CSS文件进行了更改,Intelligent Orchestration将意识到完整的SAST。
这些都意味着更多的安全风险。因此,DevSecOps开始受到关注,并且安全管理的整个生命周期都从软件开发的早期阶段开始执行。
该“ 2020 DevSecOps实践和开源管理报告” Synopsys最近发布的数据显示,DevSecOps在全球范围内正在快速增长。总计63%的受访者表示,他们正在将一些DevSecOps活动纳入其软件开发计划中。
那么,如何在DevOps中设置安全性呢?从DevSecOps到DevSecOps的过渡极具挑战性。一方面,尽管当前的安全团队主要独立地负责安全,但是开发团队也逐渐参与并共同负责安全和预算,从而使安全成为开发过程中不可或缺的一部分;另一方面,开发团队正在采用自动化和持续改进流程以优化速度并实践DevOps。
许多团队缺乏全面的计划,而忽略了风险管理。团队没有采取审慎周到的方法来提高安全性,而是陷入了僵局。
该团队试图使一切运行得足够快以跟上DevOps的步伐,但是信息量如此之大,以至于他们不知道从哪里开始改进流程。在不影响速度的情况下为DevOps添加安全性。
从降低风险的角度来看,整体上解决安全问题的最佳方法是什么?答案是更有效的自动化。开发人员不必在每次更改代码时都进行全面扫描,而是根据上下文使用智能测试并确定要运行的内容,时间和方式。
逐步提高安全性让我们看一下软件开发中安全性测试的典型发展。也许首先要部署静态应用程序安全测试(SAST)。
仅分析集成就有很多可能性:·分析每个提交·分析每个推送请求·分析主要版本·选择分析检查器·配置分析检查器接下来,您决定进一步提高安全性,添加软件组成分析( SCA)。您可以将其单独集成到管道中,但是还有许多其他选项:·扫描应用程序·扫描部署容器·选择扫描粒度和其他配置选项·确定常见漏洞披露(CVE)并发布违反策略的组件·确定CVE通用漏洞评分系统(CVSS)中已发布组件的分数·确定具有高操作风险的组件·确定具有某些许可风险的组件·将扫描结果摘要上载至风险跟踪系统·有关不符合要求的每个组件的信息需求发送到风险跟踪系统以将该策略作为代码策略,这一点很重要。
要求所有应用程序开发团队使用静态分析是一种简单但无效的软件安全策略。更有效的策略应指定要使用的工具,所需的配置,最重要的是,在发布应用程序之前需要所需的结果类型。
阐明策略的一个好方法是采用机器可读文件的形式,有时称为代码(我实际上没有称其为代码;它实际上是配置文件,可能是JSON或YAML)。 DevSecOps中安全层的关键功能。
该“策略”包括:这里描述了应该执行哪些测试,需要什么结果(或停止构建或部署),将什么结果发送到常规问题跟踪系统以及需要进行哪些合作。定期活动等。
可以有多种策略,每种策略都反映不同类型的应用程序和不同类型的风险状况。根据策略的规定对开发管道中的特定事件执行相应的测试,但针对项目的当前状态进行了优化。
安全层处理和工具集成。与安全层的轻量级集成发生在特定事件(例如合并请求)上。
安全层旨在简化集成。什么时候应该进行安全保护?如果有代码仓库提交或代码仓库合并请求,则管道将要求安全层执行安全测试。
安全层可以发挥一些强大的魔力,我们称之为智能业务流程。首先,它指的是了解哪种安全测试合适的策略。
根据该策略,安全层可以优化测试的执行方式。例如,如果开发人员刚刚对CSS文件进行了更改,Intelligent Orchestration将意识到完整的SAST。
- 电话:0797-4282799
- 邮箱:sales@tonevee.com
- 联系人:李先生 13510435585
- QQ:
- 地址:江西省赣州市定南县良富工业区电子产业区5栋
