您现在的位置是:首页 > 百科经验 >

Devops团队的安全性预计将得到改善

2020-02-26 16:40:57

在联合开发和运维以更快地交付更多代码之后,DevOps团队将处理安全性作为另一个需要克服的主要障碍。与DevOps过程相反,许多当前的安全控制要么没有完成,要么作为DevOps团队必须通过的门进行管理,而不是将过程集成在一起。

Gartner分析师预测,到2022年,向DevOps添加安全性的团队数量将从目前的40%增加到90%左右。对于将安全性集成到DevOps流程中的团队来说,有很多好处。通过了解应用程序面临的威胁,团队可以在适当的位置防范适当的风险,从而减少数据泄露、数据丢失和各种风险。尽管安全专家仍然可以监视软件的各个方面,但DevOps的一个重要原则是能够以一定的规模和速度进行操作,避免出现任意的组织和技术瓶颈。有益的安全工具与DevOps工具链的其他项目相一致,可以在任何时候提供持续的反馈:在编写代码时,通过CI/CD管道,并在代码在测试和生产环境中运行时监视和了解对代码的威胁。

希望了解如何提高安全性的团队可以利用在线可用的教育材料。提供各种免费培训课程来解释安全在DevOps中的作用:对经理的培训,对技术从业者的培训。培训安全指南项目经理Calvin Lo表示:“培训和安全教育是这个谜题的另一个关键部分。”“通过了解应用程序如何被黑客攻击的威胁和弱点,软件专业人员可以获得直接的专业知识,然后在第一时间防止许多常见问题的发生。”

Gartner路线图上的一个工具是交互式应用程序安全性测试IAST。IAST帮助团队理解和处理开发和测试期间的安全性,其方式与应用程序性能管理(APM)工具帮助团队理解性能的方式类似。APM工具(如New Relic、Dynatrace和AppDynamics)没有将代码发送给专门的性能团队以评估实验室中的独立测试,而是使用工具不断地监视应用程序中发生的事情,而不需要更改代码。因此,团队可以监控他们自己的数据,而不需要在性能工程领域进行专门的研究。使用诸如IAST之类的工具,团队可以利用工具来发现安全缺陷,而不需要专门研究安全风险。因此,这些较新的DevOps工具可以通过查看诸如用户输入何时到达未经验证的SQL命令(SQL注入)、将XML解析器配置为向外部用户提供本地文件(XXE)以及许多其他类型的风险来定位安全缺陷。通过监视api中的代码,IAST分析程序还可以帮助将应用程序的流映射到其他资源,并作为自动威胁模型的基础。

DevOps极大地改善了团队交付软件的质量和性能。DevSecOps在安全性方面也有类似的好处,但是需要在文化、人员、流程和技术方面进行更改。成功的团队既将安全‘左’移到开发中,也将‘右’移到操作中,他们正在利用基于工具的方法,如IAST和RASP,而不是传统的由外向内扫描和防火墙。”

Jeff Williams是对比度安全的首席技术官,他提供了一个免费的IAST监视器。

其他值得注意的安全DevOps工具有:

帮助将安全性作为代码集成到DevOps中的其他工具包括:混沌工程、一种将故障恢复和自动恢复设计到系统中的方法,以及运行时应用程序自我保护(RASP),它是一种在应用程序运行时防范实际漏洞(而不仅仅是攻击)的方法。

许多安全工具链的核心问题是速度、技能和准确性。一些工具,例如安全静态代码分析,速度太慢,并且由于不能遍历非命令式代码流(例如控制反转)而提供了太多的误报。对误报进行分类需要一个通常不在大多数软件团队中的专家。其他工具,如Web应用程序防火墙(WAFs),则难以准确地理解它们所看到的内容。尽管WAFs可以监视生产环境以查看数据在网络上的移动,但是它们缺乏体系结构可视性来区分攻击是否重要以及何时重要。其结果是,操作团队从无关的爬虫攻击中接收到大量噪音,而开发人员无法利用攻击信息以有意义的方式进行改进——例如,SQL注入阻塞统计对于使用NoSQL的应用程序的团队来说并不重要。2014年,安全行业公布的数据显示,美国的组织每小时遭到超过5000次攻击。2018年的其他数据显示,每天有1000个组织遭到攻击。在DevOps管道中,这些基于网络的WAF报告所缺少的关键方面是,这些攻击实际完成防御者关心的事情的频率。

希望在保持快速发布周期的同时提高安全性的开发人员可以评估Gartner周期,或者从Microsoft SDL中寻找其他建议,以及诸如对比社区版和OWASP依赖项检查之类的工具。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

热点推荐

点击排行

  • · 尽管大肆宣传Rimac拒绝制造SUV

    尽管大肆宣传Rimac拒绝制造SUVRimac永远不会制造SUV。根据MateRimac的说法,就像从来没有一样。尽管制造SUV是充实银行账户的可靠方式,但这家EV超级跑车制造商甚至根本不

  • · 交易:B&H推出混合LG Watch G7...

    交易:B&H推出混合LG Watch G7 售价190美元 折扣53%或210美元去年十月,LG Watch W7亮相。该设备被认为是混合智能手表,因为它结合了机械手和数字功能。例如,时计在Wear OS上运行,包括气压计,秒

  • · 斯巴鲁制造了一款名为e-Boxer的混...

    斯巴鲁制造了一款名为e-Boxer的混合动力XV型轿车这是全新的斯巴鲁XVe-Boxer-本质上是一个自我充电混合版本的品牌的粗糙‘n’翻滚交叉-如果你继续阅读后,这一点,我们高度赞扬你的承诺,你知道,汽车。 这并不是说XVe-Boxer将是一款

  • · 新的宝马M8将有三种外形

    新的宝马M8将有三种外形在一个似乎无法获得足够高性能汽车的世界里,还有更多的消息可以让马力的瘾君子远离戒毒所一段时间。因为宝马老板强烈暗示M8将有三种口味:coupe,gran coupe(上面以概念形式预览)

  • · 使用无线电源 在驾驶时为电动汽车充电

    使用无线电源 在驾驶时为电动汽车充电虽然电动汽车的采用通常被认为是绿色交通的重要一步,但许多司机对购买一辆可能在旅行结束前失去动力的车辆持谨慎态度。为了消除这种范围焦虑,斯坦福大学的一个团队设计了一个系统,

  • · 2020年马自达CX-9回顾 当时尚战胜功能

    2020年马自达CX-9回顾 当时尚战胜功能这可能是最好看的三排交叉今天出售。尽管这款马自达CX-9已经上市多年,但它仍然是一款好品味的典范,外观和外观都很漂亮。 研究马自达CX-9|在你身边寻找马自达CX-9 但是,当购买一辆