DevSecOps 新手需考虑的几个重点
发布时间:2022-05-26 08:30:56 所属栏目:安全 来源:互联网
导读:安全过去是最后开发阶段某个专门团队的责任,但随着开发周期的数量和速度同提升,安全实践需要与时俱进。 这导致DevSecOps(开发安全运维)大行其道,DevSecOps强调为DevOps融入安全。公司需要DevSecOps来确保项目安全可靠地运作。如果没有DevSecOps,DevOps团
|
安全过去是最后开发阶段某个专门团队的责任,但随着开发周期的数量和速度同提升,安全实践需要与时俱进。 这导致DevSecOps(开发安全运维)大行其道,DevSecOps强调为DevOps融入安全。公司需要DevSecOps来确保项目安全可靠地运作。如果没有DevSecOps,DevOps团队需要在发现漏洞后重建和更新所有系统,这费时费力。 1. 了解贵公司的安全策略和标准,以便开发时可以明智地选择安全组件。 适当的安全和审计策略很重要,以便能够证明生产环境中预期的样子就是实际运行时的样子。能够验证你在生产环境中运行的软件不需要将特殊代码添加到原始代码,那样就无需重新测试和维护新代码。实际上,如果可以在运行时进行这番验证,并立即报告所有应用程序上运行的组件,那么你的团队就能获得一直缺乏的证据和监管:安全、治理和合规证明。 2. 实施静态、可重现、不可变的构建环境。 如果在整个组织中利用系统化、可重复的构建流程建立构建环境,团队就能够减少漏洞,并确保应用程序的质量。实施面向整个组织的流程,以便针对依赖项、许可证和安全来解决开源语言的构建。这将消除浪费在改建上的时间、集成安全机制以及提高灵活性。 受信任、精挑细选的语言发行版可以在整个团队中带来这些好处,并构建开源语言的三个生命周期阶段:构建、认证和解决。 3. 积极主动。 开发过程中确定许可证合规和漏洞方面要注意的事项,而不是事后再做。了解应用程序中的组件,让你的所有应用程序组合了解这些组件,并密切跟踪那些更新,这是繁重的工作。这实际上可以实现自动化,以了解团队依赖某个组件的情况和与组件有关的风险。 4. 使用最新版本的组件,组件应尽量来自积极维护的项目。 过时或维护不力的开源软件会为不法分子提供可趁之机,并破坏关键任务型应用程序的稳定性。许多开源软件包由多个贡献者创建,可能没有走严格的安全审核流程。此外,即使软件包过去经过了安全评估,也可能含有未知的新漏洞。而现有的工具和流程检测不出这些新漏洞。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号