写点什么

DevSecOps 如何提高应用程序安全性?

用户头像
啸天
关注
发布于: 2021 年 01 月 19 日
DevSecOps如何提高应用程序安全性?

什么是 DevSecOps

在软件行业,DevSecOps 是一种文化转变,它将安全实践集成到 DevOps 过程中。DevSecOps 需要在开发团队和安全团队之间建立一种“安全即代码”的文化。然后,安全过程由开发团队自己进行处理和自动化。

DevSecOps 如何提高应用程序安全性?

在传统的软件开发中,开发人员每隔几个月或几年发布一个新版本的应用程序,以提高软件质量和进行安全测试。然而,公有云、容器和微服务架构的兴起对软件开发产生了直接影响,新特性和新代码快速地不断引入到产品中。这些过程大多都是自动化的,这样公司就能够更快地创新,和在竞争中保持领先地位。

DevOps 文化代表了开发团队、测试团队和运维团队之间的共同身份,以及对共同目标的认可。这允许大量的软件开发,但安全往往落后,并且无法跟上新的代码更新速度。DevSecOps 试图成为一种解决方案,它可以将安全测试集成到持续集成和持续交付管道中,并使开发团队能够在开发过程中进行测试和修复。

在 DevSecOps 中,开发团队正在进行安全测试。因此,在测试期间发现的任何问题都由同一个开发团队管理和修复。

在 DevSecOps 中,开发和安全没有分离。

集成测试可能是一个挑战,因为开发人员必须学会自己修复与安全相关的缺陷,这可能需要时间。一种方法是在开发团队中找到应用程序安全方面的专家,尽管目标是让整个团队都了解安全编程实践。

但是,开发团队仍然可以联系安全测试人员以获得专家意见,因为有些任务可能需要安全专业人员手动测试。但这应该是一个特殊的情况,而不是有一个完全不同的团队专注于安全。

开发和安全之间的这种集成也需要在管理层进行,这样才能完全成功。否则,从上到下没有对齐,可能会导致管理层冲突。

为此,开发人员为开发人员创建了一些新的工具,并将其集成到开发环境和 CI/CD 工作流中。多年来,传统的应用程序安全供应商已经改变了他们的产品,以适应 CISO 和开发人员。某些为开发人员设计的基于云的服务提供商(例如 GitHub)开始将安全测试直接包含到他们的服务中。

越来越多的公司开始在 CI/CD 管道中集成自动化安全测试,尽管这可能是一个缓慢的过程。 

最终,DevSecOps 应该能够减少代码中存在的严重漏洞的数量。

 

原文:https://www.devopsonline.co.uk/how-can-devsecops-improve-application-security/


发布于: 2021 年 01 月 19 日阅读数: 3182
用户头像

啸天

关注

安全不是某个人的事情,而是所有人的事情。 2012.05.08 加入

CISSP,安全架构师,AWS认证安全专家,OWASP中国广东分会负责人

评论

发布
暂无评论
DevSecOps如何提高应用程序安全性?