行业新闻与博客

DevSecOps 不仅仅是另一个毫无意义的流行语，它是一种具有许多步骤和真正技术的方法，可用于帮助有效降低风险。这是在拉斯维加斯举行的黑帽美国会议上发布的消息，标题为“DevSecOps：What，Why and How。”

NotSoSecure 亚太区域总监 Anant Shrivastava  解释说，许多组织的理想目标是默认安全。DevSecOps 是一种通过工具将安全性集成到开发人员和操作工作流中的方法，可以帮助在组织内创建安全文化作为代码。

“DevSecOps 使管理快速开发和大规模安全部署变得更加容易，”Shrivastava 说。“安全必须是这个过程的一部分，它不能只是最终发生的一步。”

在现代 DevOps 代码开发方法中，开发人员在 IDE（集成开发人员环境）中构建代码，将代码检查到源代码存储库，然后将代码移动到持续集成，连续部署服务器到生产部署。Shrivastava 表示，在 DevOps 流程的每个阶段都有工具和控件可用于实现更好的安全性。

DevSecOps 管道的第一步是让 Shrivastava 称为开发人员工作站的“预提交挂钩”，以确保访问密钥等敏感信息不会直接集成到代码提交中。IDE 插件还可用于帮助开发人员识别可能导致可利用漏洞的代码中的潜在错误。

软件组合分析（SCA）是开发人员采用 DevSecOps 模型的另一个关键步骤。

Shrivastava 说：“我们不像软件那样编写软件，因为现在软件的最大部分是第三方库。” “软件组合分析执行检查以识别过时的第三方库中的易受攻击者。”

静态分析是 DevSecOps 管道的下一步。Shrivastava 解释说，静态分析工具可以实现自动代码审查，可以找到 SQL 注入和跨站点脚本（XSS）等软件缺陷。静态分析在未运行的代码上运行。结果是动态分析，它旨在识别运行代码中的缺陷。

从开发到生产，DevSecOps 还寻求帮助保护用于应用程序部署的基础架构。将安全性定义为基础架构中的代码的想法适用于此。

“作为代码的基础设施允许您记录并对基础设施进行版本控制，”他解释说。“它允许您对基础架构执行审计，整个环境可以像基本映像一样安全。”

拥有所有不同的 DevSecOps 控件和工具还可以添加新的复杂层，因为每个工具都有自己的报告格式。这就是为什么 Shrivastava 说 DevSecOps 管道中还需要漏洞管理，作为所有不同报告的中央仪表板。

最后，即使使用各种工具来检查不同级别的代码，漏洞仍然可以通过。Shrivastava 表示，一旦部署了代码，就必须有警报和监控工具，以确定是否还有任何恶意程序可以通过。

“我们的工作完全是假设任何东西都可以被黑客入侵，但你仍然可以让攻击者的生活变得悲惨，那就是游戏，”他说。

非常感谢您对亚洲注册的支持与信任！

禁止转载