行业新闻与博客

根据云和企业安全架构师和研究科学家 Gamini Bulumulle 教授的说法，当人们伸出援手时，DevSecOps 自动化最有效。

Bulumulle 在星期二于佛罗里达州奥兰多市繁华的（ISC）²安全大会上发表讲话时说，Bulumulle 表示，尽管自动化可以解决繁琐的任务并提供快速的结果，但自动化仍然会产生错误，使其不完全可靠。

旨在检测漏洞和配置错误的自动安全扫描可能会遗漏漏洞。他们还可能提供错误的结果，并且不知道如何或为什么这样做。

Bulumulle 说：“自动化非常好，因为它速度很快，但是我们有正确的工具吗？我见过的一些工具会带来假阴性和假阳性。” 

“使用自动扫描功能，没有工具可以追溯到为什么您会得到误报。当发生这种情况时，我们必须手动干预以解决所有问题。” 

Bulumulle 补充说，自动化安全控制并不总是完全自动化的，而是可以是半自动化的或需要人工干预的。

Bulumulle 给出了一个仍然需要手动干预的自动化过程的示例：“假设您想在防火墙后安装 IPS 来捕获数据；一旦安装，您可能必须重新启动文件。”

对于 Bulumulle 而言，任何以低价提供快速修复的安全解决方案都像马毛一样真实。 

这位教授说：“安全既昂贵又费时。”

Bulumulle 表示，密切注意正在发生的安全事件和事件对于确保安全性至关重要，但是只有善用收集的数据，这才值得做。

“持续监视确实非常重要。事件登录数据是组织中使用最多的资源。必须回去调查。”

Bulumulle 表示，DevSecOps LifeCycle 自动化对于快速软件开发是必需的，但没有灵丹妙药。他主张通过增加两层手动验证来实现某种自动化。

“同行评审真的很重要。我是一个懒惰的校对者，所以我总会请人来阅读我的作品。”

非常感谢您对亚洲注册的支持与信任！

禁止转载