博文精选 | DevSecOps 安全检查清单

2021-06-24 16:55:15

F5小安

行业:互联网

 

关键字:DevOps、安全、自动化、集成

 

摘要: 虽然您的团队已经接受了 DevOps 方法,并且已经准备好将安全左移,以便安全更接近开发人员;但是改变还是很不容易,特别是改变长期以来对安全的信念和偏见,这需要计划、耐心和坚持。

 

 

阅读时长:5分钟

 

 

以下文章来源于InfoQ!作者:啸天



DevSecOps安全检查清单

虽然您的团队已经接受了 DevOps 方法,并且已经准备好将安全左移,以便安全更接近开发人员;但是改变还是很不容易,特别是改变长期以来对安全的信念和偏见,这需要计划、耐心和坚持。 

这里的 DevSecOps 安全检查清单,可以帮助你的团队。

1.了解挑战:

我们的 2020 年全球 DevSecOps 调查显示,开发人员和安全团队之间的鸿沟仍然很大,而且充满了指责。超过 42%的受访者表示,安全测试在生命周期中进行得太晚,超过 60%的开发人员不运行基本的静态应用程序安全测试(SAST)扫描。对于谁真正负责安全问题,甚至还没有达成一致:33%的安全专家说他们负责,但 29%的人说每个人都负责。反正混乱无处不在。

2.解释目标:

在对安全和所有权有如此多不同的假设的情况下,向团队提供明确的目标将可以完成一些切实可行的工作。一个成功的 DevSecOps 实践将意味着更多的代码得到测试,一旦事情进展顺利,这将转化为更快的版本。DevSecOps 还可以改进规划:从一开始就引入安全白帽子将意味着安全涉及到流程的每一个步骤,减少摩擦并最终加快发布周期。最后,DevSecOps 将通过创建一种“安全是每个人的责任”的文化来提高责任感,即使在非安全团队成员中也是如此

3.度量:

这有助于理解在代码合并后团队浪费多少时间来处理漏洞。接下来,总结这些漏洞的类型或来源,并进行调整以改进。

4. 找出摩擦点:

让大家聚在一起,坦率地讨论开发与安全之间的痛点和瓶颈。一旦所有问题都解决了,创建一个计划来解决它们,然后执行该计划。

5. 咬一口:

在 GitLab,迭代是我们的核心价值之一,所以当我们进行更改时,我们会进行微小的、快速的更改,然后在这些更改的基础上进行构建。当从 DevOps 转换到 DevSecOps 时,同样的原则也是可行的:进行增量代码更改。较小的更新更容易审查和保护,并且比单一的项目更改启动得更快。

6.自动化和集成:

这是 DevOps 的关键,但自动化和集成也是使安全扫描成为强大工具的原因。如果扫描无处不在,每一个代码更改都会被审查,漏洞也会更早地被发现。扫描必须内置到开发人员的工作流程中。集成的安全性使开发人员能够在代码离开他们的手之前发现并修复漏洞。这也减少了发送给安全团队的漏洞数量,简化了他们的审查。

7.分享结果:

让开发者获得 SAST 和 DAST 报告。这不仅对于修复非常重要,而且也是一个能够帮助开发人员构建安全编码实践的有价值的工具。

8.进行状态检查:

如果您的 SDLC 中有任何瀑布式的</>安全过程,这是消除或至少大大减少您对它们的依赖的机会。你应该总是能够根据需要改变方向:保持你的组织灵活。

9. 增强安全团队的能力:

使安全团队能够了解已解决和未解决的漏洞、漏洞所在的位置、产生漏洞的人员以及漏洞的修复状态。

10. 简化工具:

DevOps 平台提供了一套集成的工具,使团队能够学习单一的界面,依赖于单一的事实来源,并简化了自动化、集成、监控和数据交付。





以上是针对 DevSecOps安全 希望对大家有帮助!

 

 

 

阅读原文

 

声明:本文章版权归原作者及原出处所有 。凡本社区注明来源:XXX或转自:XXX”的作品均转载自其它媒体,转载目的在于传递分享更多知识,内容为作者个人观点,仅供参考,并不代表本社区赞同其观点和对其真实性负责。本社区转载的文章,我们已经尽可能的对作者和来源进行了注明,若因故疏忽,造成漏注,请及时联系我们,我们将根据著作权人的要求,立即更正或者删除有关内容。本社区拥有对此声明的最终解释权。

 

 

 

你还不能错过:

 

F5社区好文推荐:双模安全-纵深防御

 

 

发布评论 加入社群

发布评论

相关文章

博文精选 |分布式唯一 ID 解决方案 - 雪花算法

F5小安

2021-07-13 10:27:41 58

博文精选 |如何让开发人员接受 DevSecOps

F5小安

2021-07-13 10:00:21 38

博文精选 |一份处理宕机的应急响应入门指南

F5小安

2021-07-07 13:47:38 42

Login

手机号
验证码
© 2019 F5 Networks, Inc. 版权所有。京ICP备16013763号-1