DevSecOps 将会嵌入 DevOps

通常人们在一个项目行将结束时才会考虑到安全,这么做会导致很多问题;将安全融入到DevOps的工作流中已产生了积极结果。

DevSecOps:安全正当时

一直以来,开发人员在构建软件时认为功能需求优先于安全。虽然安全编码实践起着重要作用,但对于赶在最后期限前构建应用程序的团队来讲,它往往会被降到第二或第三级需求的位置。

“软件安全”的说法通常会在软件开发人员中引起负面情绪,因为它意味着增加额外的编程量、不确定性、以及阻碍快速开发和发布周期的拦路石。最近这种思维模式正在逐渐发生改变,其中很大的一部分原因是自动化安全成功地融入了DevOps实践中。

DevSecOps的调查结果显示,24%的受访者认为安全是开发人员目前的第一考虑因素。而在自我标榜有着成熟DevOps实践的组织机构中,38%的受访机构表示安全是首要考虑因素且开发人员在安全上面投入大量时间。这说明开发过程中的安全实践比例要比DevOps团队高60%。

调查结果还显示,67%的开发人员并没有在安全方面投入足够的时间,或者他们认为这是其他人的责任。

DevSecOps 将会嵌入 DevOpsDevSecOps 将会嵌入 DevOps

鼓励新想法

毋庸置疑,开发人员将继续优先区分业务需求和市场需求:而这正是DevOps实践的用武之地,它能改变开发人员的这种心态以及开发行为。DevOps实践能够让开发人员从必须遵循强加的规则和指南转向创造性地决定采用新的、更加容易的、自动化方式提早且在SDLC整个过程中采用安全编码实践。

强调一系列的DevOps原则如文化、自动化和基础设施即代码能够让开发人员更多地了解到自己所构建的东西可被如何利用。DevOps文化并非盲目地遵循所要求的安全实践和控制,而是鼓励开发人员思考如何将确保应用程序的安全融入日常代码活动中。

一些组织机构鼓励开发人员像可能会利用代码中漏洞的攻击者那样思考。而另外一些组织机构帮助开发人员更好地理解他们所面临的挑战即在最后期限完成编程的同时确保代码的安全。这种实践有助于引起同理心,同时让软件变得更加安全。

从被动到主动

改变软件的构建方式也有助于开发和安全团队的立场从被动转为主动。过去,软件安全关注的是预测攻击的来源和发动方式并设置障碍来应对攻击,这个过程耗时较长。此外,有必要注意到的一点是,人们并无法预测到多数攻击尤其是复杂攻击,也就是说随着新型攻击的发现,修复方案通常会跟上。无法预测攻击这一事实就是为何新的0day漏洞出现后会看到作为响应的补丁。

随着DevSecOps的到来,人们就能主动将保证软件安全的精力投入到打败攻击的过程中。例如,某些组织机构正在构建的软件的攻击面在缩小,从而既能快速部署又能快速恢复。换句话说,开发人员不再那么担心被黑,而更担心如何阻止可预见的攻击并快速从网络事件中恢复。

开发人员还在寻求多种创新方式,从而让软件承受攻击并继续发挥作用。换句话讲,软件应该“弯曲”而非“破裂”。这种从阻止到“弯曲而非破裂”的思维方式转变能让人们在应对攻击时变得更加灵活。

安全不拖累交付

DevSecOps的新兴概念主要是为了在增强应用程序安全性的同时不能拖累发布和部署周期。这些技术包括在软件开发周期中增加安全测试技术如模糊测试和软件渗透测试。

其它技术包括在持续性整合平台中自动化安全分析,从而在SDLC中提早限制易受攻击代码的引入。这种方式能让开发团队提早考虑安全从而更快地推出修复方案。它能让积极编程的开发人员更容易地修复实时出现的问题,而不是等到几周或几个月之后才收到警告信息。

应用这些以及其它DevSecOps原则能为创造有弹性且安全的环境产生较大影响。如果正确执行这些原则,那么将有助于开发人员在正确的时间拥有正确的工具和正确的洞察力。如果在早期将安全构建于SDLC和所有地方,那么开发人员会更快地构建更好的软件。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/144797.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

react.js在visual code 下的hello World

想学习reacr.js ,就开始做一个hello world。 我的环境是visual code ,所以我找这个环境下的例子。参照: https://code.visualstudio.com/docs/nodejs/reactjs-tutorial 要学习react.js ,还得先安装node.js,我在visual …

电脑技巧:推荐一款桌面增强工具AquaSnap

目录 一、软件介绍 二、功能介绍 2.1 窗口边缘停靠 2.2、 窗口平铺 2.3、 窗口对齐 2.4 窗口自动拉伸 2.5、同时移动多个窗口 2.6 、支持窗口置顶 2.7、 鼠标快捷方式 2.8、 键盘快捷键 三、软件特色 四、软件获取 一、软件介绍 AquaSnap(界面增强软件)是一款功能…

Yolov8-pose关键点检测:模型轻量化创新 | OREPA结合c2f,节省70%的显存!训练速度提高2倍! | CVPR2022

💡💡💡本文解决什么问题:浙大&阿里提出在线卷积重新参数化OREPA,节省70%的显存!训练速度提高2倍! OREPA | GFLOPs从9.6降低至8.2, mAP50从0.921提升至0.931 Yolov8-Pose关键点检测专栏介绍:https://blog.csdn.net/m0_63774211/category_12398833.html ✨✨…

渲染路径RenderingPath

文章目录 前言一、什么是渲染路径二、渲染路径有哪些1、前向渲染路径2、延迟渲染路径3、顶点照明渲染路径(已过时)4、旧的渲染路径(已过时) 前言 渲染路径RenderingPath 一、什么是渲染路径 为进行光照计算而设计的渲染方式 二、渲染路径有哪些 1、前向…

华为云云耀云服务器L实例评测 | 实例使用教学之简单使用:通过部署宝塔面板可视化管理华为云云耀云服务器

华为云云耀云服务器L实例评测 | 实例使用教学之简单使用:通过部署宝塔面板可视化管理华为云云耀云服务器 介绍华为云云耀云服务器 华为云云耀云服务器 (目前已经全新升级为 华为云云耀云服务器L实例) 华为云云耀云服务器是什么华为…

【C++】C++11新特性

目录 一、列表初始化C98中使用{}初始化的问题内置类型的列表初始化自定义类型的列表初始化 二、变量类型推导(decltype)类型推导类型推导的场景 四、类成员的新功能显示缺省参数删除默认函数final和override 四、可变参数列表五、lambda表达式引入lambda表达式语法 一、列表初始…

Git与Repo:开源开发的得力工具组合

Git与Repo:开源开发的得力工具组合 1. 引言 开源开发在当今的软件行业中扮演着至关重要的角色。它不仅推动了技术的创新和进步,也促进了开发者之间的合作与共享。随着越来越多的开源项目的涌现,有效的代码管理和版本控制成为了必不可少的工…

可观测平台如何存储时序曲线?滴滴实践全历程分享

滴滴的时序曲线量从 2017 年 到 2023 年增长了几十倍。整个过程中我们不断地调整和改进以应对这样的增长。例如时序数据库的选型从最初的 InfluxDB,到 RRDtool,又开发了内存 TSDB 分担查询压力,再到 2020 年开始使用 VictoriaMetrics。载体也…

四通道信息融合下的齿轮箱故障诊断(Python代码,SVM模型和CNN模型进行对比实验,解压缩即可运行,有详细中文注释)

1.效果运行视频:四通道信息融合下的齿轮箱故障诊断(Python代码,SVM模型和CNN模型进行对比实验)_哔哩哔哩_bilibili 用到的库: 2.数据集介绍:数据免费下载链接(不要积分)&#xff1a…

[RCTF2015]EasySQL 二次注入 regexp指定字段 reverse逆序输出

第一眼没看出来 我以为是伪造管理员 就先去测试管理员账号 去register.php 注册 首先先注册一个自己的账号 我喜欢用admin123 发现里面存在修改密码的内容 那么肯定链接到数据库了 题目又提示是sql 那我们看看能不能修改管理员密码 首先我们猜测闭合 通过用户名 admin…

ADworld reverse wp easyre-153

逆向分析 做逆向题先查壳, 就像做pwn先checksec一样 用PEid查不出来, 用Exeinfo PE可以查出ELF文件的壳 用工具直接脱upx壳, kali自带的工具或者手动安装一个windows的upx工具 脱壳之后拖入IDA32 int __cdecl main(int argc, const char **argv, const char **envp) {int …

媒体编解码器MediaCodec

目录 1.介绍MediaCodec类 2.创建MediaCodec的方式 3.MediaCodec流程 (1)配置编码参数 (2)创建编码器 (3)创建混合器 (4)开始编码 4.MediaCodec编码的工作方式 5.MediaCodec…

2023年十大开源项目:革新技术创新

来源整理 : 小托 | 开源社翻译组PM 翻译 : 张锋 | 开源社翻译 Open-source projects have revolutionized the world of software development by fostering innovation, collaboration, and community-driven contributions. These projects are often the backbone of countl…

iOS应用程序的签名、重签名和安装测试

目录 前言 打开要处理的IPA文件 设置签名使用的证书和描述文件 开始ios ipa重签名 前言 ipa编译出来后,或者ipa进行修改后,需要进行重新签名才能安装到测试手机,或者提交app store供apple 商店审核上架。ipaguard有签名和重签名功能&…

vue前端项目中添加独立的静态资源

如果想要在vue项目中放一些独立的静态资源,比如html文件或者用于下载的业务模板或其他文件等,需要在vue打包的时候指定一下静态资源的位置和打包后的目标位置。 使用的是 copy-webpack-plugin 插件,如果没有安装则需要先安装一下,…

记一次实战案例

1、目标:inurl:news.php?id URL:https://www.lghk.com/news.php?id5 网站标题:趋时珠宝首饰有限公司 手工基础判断: And用法 and 11: 这个条件始终是为真的, 也就是说, 存在SQL注入的话, 这个and 11的返回结果必定是和正常页…

【深度学习实验】卷积神经网络(三):自定义二维卷积层:步长、填充、输入输出通道

目录 一、实验介绍 二、实验环境 1. 配置虚拟环境 2. 库版本介绍 三、实验内容 0. 导入必要的工具包 1. 步长、填充 a. 二维互相关运算(corr2d) b. 二维卷积层类(Conv2D) c. 模型测试 d. 代码整合 2. 输入输出通道 a…

【冰糖R语言】创建R包(打包R程序)

目标:将现有R程序打包 可能涉及知识点:devtools包、usethis包、Rstudio软件 一、R包的类型 通常一个R包中包含以下元素: 1)R文件夹:函数代码 2)man文件夹:存放每个函数的注释文件 3&#x…

KNN(上):数据分析 | 数据挖掘 | 十大算法之一

⭐️⭐️⭐️⭐️⭐️欢迎来到我的博客⭐️⭐️⭐️⭐️⭐️ 🐴作者:秋无之地 🐴简介:CSDN爬虫、后端、大数据领域创作者。目前从事python爬虫、后端和大数据等相关工作,主要擅长领域有:爬虫、后端、大数据…

36 二叉树中序遍历

二叉树中序遍历 题解1 递归题解2 迭代 给定一个二叉树的根节点 root &#xff0c;返回它的 中序 遍历 。 提示&#xff1a; 树中节点数目在范围 [0, 100] 内-100 < Node.val < 100 进阶: 递归算法很简单&#xff0c;你可以通过迭代算法完成吗&#xff1f; 题解1 递归…