1
您现在的位置:
首页
/
/
什么是 DevSecOps?

什么是 DevSecOps?

  • 分类:新闻资讯
  • 作者:苏州华克斯信息科技有限公司
  • 来源:苏州华克斯信息科技有限公司
  • 发布时间:2021-06-04
  • 访问量:0

【概要描述】

什么是 DevSecOps?

【概要描述】

  • 分类:新闻资讯
  • 作者:苏州华克斯信息科技有限公司
  • 来源:苏州华克斯信息科技有限公司
  • 发布时间:2021-06-04
  • 访问量:0
详情

DevSecOps 允许在软件开发周期 (SDLC) 早期进行安全测试集成。 这通常称为安全性左移左移DevSecOps 允许在软件开发周期早期实现无缝应用程序安全,而不是等到最后需要防范的漏洞难以实施且成本高昂。

DevSecOps  DevOps 的扩展,又被称作安全 DevOps DevOps 对不同的人或组织可能具有不同的意义,它需要文化和技术两方面的变革。 理想情况下,安全是 DevOps 取得成功的隐性要求。

DevSecOps 需要从一开始就进行应用程序和基础架构的安全性规划。 正确的工具可以帮助实现持续集成的安全性目标,包括选择具有安全性功能的集成开发环境 (IDE) 等决策。 工具和流程还必须能够自动化一些安全门,以免减慢 DevOps 工作流程。

DevSecOps 优势

DevSecOps 可在整个软件交付管道中实现增强自动化,从而消除编码错误,并最终减少漏洞。

实施 DevSecOps 工具和流程以将安全性集成到其 DevOps 框架中的团队将能够更快地发布安全软件。 开发人员可以在编写代码时测试代码的安全性并检测安全漏洞。 团队应能够使用现有开发工具,改善 Web 应用程序开发的安全性。

DevSecOps 的关键组件

DevSecOps 方法可能包含这些重要组件:

  • 应用程序/API 库存
    • 跨产品组合自动发现、配置和持续监控代码。 可能包括数据中心、虚拟环境、私有云、公共云、容器、无服务器等中的生产代码。 使用自动化发现和自评工具组合。 发现工具帮助您识别您拥有的应用程序和 API 自陈工具使您的应用程序可以自我评定,并将其元数据报告到中央数据库。
  • 自定义代码安全
    • 开发、测试和运维期间持续监控软件漏洞。 频繁交付代码,以便在每次代码更新时快速识别漏洞。
    • 静态应用程序安全测试 (SAST) 能够扫描应用程序源文件,准确识别根本原因,并帮助修复潜在的安全漏洞。
    • 动态应用程序安全测试 (DAST) 会模拟对正在运行的 Web 应用程序或服务发起管控攻击,识别出正在运行的环境中可利用的漏洞。
    • 交互式应用程序安全测试 (IAST) 通过使用代理和传感器对应用程序进行检测来提供深度扫描,以持续分析应用程序、其基础结构、依赖关系、数据流以及所有代码。
  • 开源安全
    • 开源软件 (OSS) 通常包含安全漏洞,因此完整的安全方法包括用于跟踪 OSS 库并报告漏洞和许可证违规的解决方案。
    • 软件组合分析 (SCA) 能够自动实现开源软件 (OSS) 的可视性,以进行风险管理并确保安全和许可证合规性。
  • 运行时防护
    • 保护生产中的应用程序可能会发现新的漏洞或者旧应用程序未处于开发中。
    • 日志记录可告知您攻击媒介和系统目标类型。 威胁情报可告知威胁建模和安全架构流程。
    • 运行时应用自我保护 (RASP) 能够检测应用程序,直接评估内部攻击,并阻止内部漏洞利用。
  • 合规性监控
    • 实现 GDPRCCPAPCI 等的审计就绪和持续合规状态。
  • 文化因素
    • 确定安全支持者,为开发人员建立安全培训等。

应用 DevSecOps

1 :将安全纳入软件需求
2 :尽早、经常性快速测试
3 :利用集成,使应用程序安全性成为生命周期的自然组成部分
4 :在开发和测试过程中自动执行安全活动
5 :在发布后及时实施监控和保护

Fortify 帮助将安全纳入 DevOps

  • 开发人员友好型
    • 使用 Fortify Security AssistantVisual Studio  Eclipse 在开发人员的 IDE 中实现实时安全性
    • 借助 Fortify 集成生态系统将安全性嵌入应用程序开发和部署工作中
    • 通过 Secure Code Warrior 集成和 Micro Focus 培训开展开发人员培训
  • CI/CD 管道自动化
    • 配备了 Fortify Static Code Analyzer  SAST
    • 配备了 Fortify WebInspect  DAST
    • 配备了 Fortify Application Defender  RASP
    • 配备了 Sonatype and Fortify 的软件组合分析 (SCA)/开源安全 (OSS)
  • 扩展应用程序安全
    • 配备了 Fortify on Demand 的安全即服务
    • 通过 Fortify Audit Assistant,进行 AI 辅助审计,减少误报
    •  Gartner 应用安全测试魔力象限评为领导品牌

 

关于苏州华克斯信息科技有限公司

联系方式:400-028-4008

                0512-62382981

专业的测试及安全产品服务提供商

Fortify | Webinspect | AppScan | SonarQube 

LoadRunner | UFT(QTP) | ALM(QC)| Nessus 

 

Micro Focus (原HPE)金牌合作伙伴

SonarQube中国总代理

HCL中国合作伙伴

Tenable中国合作伙伴

扫二维码用手机看

更多资讯

联系我们

联系我们

发布时间:2020-09-16 13:55:16
地址:苏州市工业园区新平街388号
          腾飞创新园塔楼A1-205
电话:400-028-4008
          0512-62382981

关注我们

这是描述信息

页面版权所有 -  苏州华克斯信息科技有限公司  |  Copyright - 2020 All Rights Reserved.