1
您現在的位置:
首頁
/
/
什麼(me)是 DevSecOps?

什麼(me)是 DevSecOps?

  • 分類:新聞資訊
  • 作者:蘇州華克斯信息科技有限公司
  • 來源:蘇州華克斯信息科技有限公司
  • 發(fā)布時(shí)間:2021-06-04
  • 訪問量:0

【概要描述】

什麼(me)是 DevSecOps?

【概要描述】

  • 分類:新聞資訊
  • 作者:蘇州華克斯信息科技有限公司
  • 來源:蘇州華克斯信息科技有限公司
  • 發(fā)布時(shí)間:2021-06-04
  • 訪問量:0
詳情

DevSecOps 允許在軟件開(kāi)發(fā)周期 (SDLC) 早期進(jìn)行安全測試集成(chéng)。 這(zhè)通常稱爲安全性左移左移DevSecOps 允許在軟件開(kāi)發(fā)周期早期實現無縫應用程序安全,而不是等到最後(hòu)需要防範的漏洞難以實施且成(chéng)本高昂。

DevSecOps  DevOps 的擴展,又被稱作安全 DevOps DevOps 對(duì)不同的人或組織可能(néng)具有不同的意義,它需要文化和技術兩(liǎng)方面(miàn)的變革。 理想情況下,安全是 DevOps 取得成(chéng)功的隐性要求。

DevSecOps 需要從一開(kāi)始就(jiù)進(jìn)行應用程序和基礎架構的安全性規劃。 正确的工具可以幫助實現持續集成(chéng)的安全性目标,包括選擇具有安全性功能(néng)的集成(chéng)開(kāi)發(fā)環境 (IDE) 等決策。 工具和流程還(hái)必須能(néng)夠自動化一些安全門,以免減慢 DevOps 工作流程。

DevSecOps 優勢

DevSecOps 可在整個軟件交付管道(dào)中實現增強自動化,從而消除編碼錯誤,并最終減少漏洞。

實施 DevSecOps 工具和流程以將(jiāng)安全性集成(chéng)到其 DevOps 框架中的團隊將(jiāng)能(néng)夠更快地發(fā)布安全軟件。 開(kāi)發(fā)人員可以在編寫代碼時(shí)測試代碼的安全性并檢測安全漏洞。 團隊應能(néng)夠使用現有開(kāi)發(fā)工具,改善 Web 應用程序開(kāi)發(fā)的安全性。

DevSecOps 的關鍵組件

DevSecOps 方法可能(néng)包含這(zhè)些重要組件:

  • 應用程序/API 庫存
    • 跨産品組合自動發(fā)現、配置和持續監控代碼。 可能(néng)包括數據中心、虛拟環境、私有雲、公共雲、容器、無服務器等中的生産代碼。 使用自動化發(fā)現和自評工具組合。 發(fā)現工具幫助您識别您擁有的應用程序和 API 自陳工具使您的應用程序可以自我評定,并將(jiāng)其元數據報告到中央數據庫。
  • 自定義代碼安全
    • 開(kāi)發(fā)、測試和運維期間持續監控軟件漏洞。 頻繁交付代碼,以便在每次代碼更新時(shí)快速識别漏洞。
    • 靜态應用程序安全測試 (SAST) 能(néng)夠掃描應用程序源文件,準确識别根本原因,并幫助修複潛在的安全漏洞。
    • 動态應用程序安全測試 (DAST) 會(huì)模拟對(duì)正在運行的 Web 應用程序或服務發(fā)起(qǐ)管控攻擊,識别出正在運行的環境中可利用的漏洞。
    • 交互式應用程序安全測試 (IAST) 通過(guò)使用代理和傳感器對(duì)應用程序進(jìn)行檢測來提供深度掃描,以持續分析應用程序、其基礎結構、依賴關系、數據流以及所有代碼。
  • 開(kāi)源安全
    • 開(kāi)源軟件 (OSS) 通常包含安全漏洞,因此完整的安全方法包括用于跟蹤 OSS 庫并報告漏洞和許可證違規的解決方案。
    • 軟件組合分析 (SCA) 能(néng)夠自動實現開(kāi)源軟件 (OSS) 的可視性,以進(jìn)行風險管理并确保安全和許可證合規性。
  • 運行時(shí)防護
    • 保護生産中的應用程序可能(néng)會(huì)發(fā)現新的漏洞或者舊應用程序未處于開(kāi)發(fā)中。
    • 日志記錄可告知您攻擊媒介和系統目标類型。 威脅情報可告知威脅建模和安全架構流程。
    • 運行時(shí)應用自我保護 (RASP) 能(néng)夠檢測應用程序,直接評估内部攻擊,并阻止内部漏洞利用。
  • 合規性監控
    • 實現 GDPRCCPAPCI 等的審計就(jiù)緒和持續合規狀态。
  • 文化因素
    • 确定安全支持者,爲開(kāi)發(fā)人員建立安全培訓等。

應用 DevSecOps

1 :將(jiāng)安全納入軟件需求
2 :盡早、經(jīng)常性快速測試
3 :利用集成(chéng),使應用程序安全性成(chéng)爲生命周期的自然組成(chéng)部分
4 :在開(kāi)發(fā)和測試過(guò)程中自動執行安全活動
5 :在發(fā)布後(hòu)及時(shí)實施監控和保護

Fortify 幫助將(jiāng)安全納入 DevOps

  • 開(kāi)發(fā)人員友好(hǎo)型
    • 使用 Fortify Security AssistantVisual Studio  Eclipse 在開(kāi)發(fā)人員的 IDE 中實現實時(shí)安全性
    • 借助 Fortify 集成(chéng)生态系統將(jiāng)安全性嵌入應用程序開(kāi)發(fā)和部署工作中
    • 通過(guò) Secure Code Warrior 集成(chéng)和 Micro Focus 培訓開(kāi)展開(kāi)發(fā)人員培訓
  • CI/CD 管道(dào)自動化
    • 配備了 Fortify Static Code Analyzer  SAST
    • 配備了 Fortify WebInspect  DAST
    • 配備了 Fortify Application Defender  RASP
    • 配備了 Sonatype and Fortify 的軟件組合分析 (SCA)/開(kāi)源安全 (OSS)
  • 擴展應用程序安全
    • 配備了 Fortify on Demand 的安全即服務
    • 通過(guò) Fortify Audit Assistant,進(jìn)行 AI 輔助審計,減少誤報
    •  Gartner 應用安全測試魔力象限評爲領導品牌

 

關于蘇州華克斯信息科技有限公司

聯系方式:400-028-4008

                0512-62382981

專業的測試及安全産品服務提供商

Fortify | Webinspect | AppScan | SonarQube 

LoadRunner | UFT(QTP) | ALM(QC)| Nessus 

 

Micro Focus (原HPE)鉑金合作夥伴

SonarQube中國(guó)總代理

HCL中國(guó)合作夥伴

極狐GiLab鉑金級合作夥伴

掃二維碼用手機看

更多資訊

聯系我們

聯系我們

發(fā)布時(shí)間:2020-09-16 13:55:16
地址:蘇州市工業園區新平街388号
          騰飛創新園塔樓A617
電話:400-028-4008
          0512-62382981

關注我們

這(zhè)是描述信息

頁面(miàn)版權所有 -  蘇州華克斯信息科技有限公司  |  Copyright - 2020 All Rights Reserved.