DevSecOps 将会嵌入 DevOps

news2024/12/28 12:05:28

通常人们在一个项目行将结束时才会考虑到安全,这么做会导致很多问题;将安全融入到DevOps的工作流中已产生了积极结果。

DevSecOps:安全正当时

一直以来,开发人员在构建软件时认为功能需求优先于安全。虽然安全编码实践起着重要作用,但对于赶在最后期限前构建应用程序的团队来讲,它往往会被降到第二或第三级需求的位置。

“软件安全”的说法通常会在软件开发人员中引起负面情绪,因为它意味着增加额外的编程量、不确定性、以及阻碍快速开发和发布周期的拦路石。最近这种思维模式正在逐渐发生改变,其中很大的一部分原因是自动化安全成功地融入了DevOps实践中。

DevSecOps的调查结果显示,24%的受访者认为安全是开发人员目前的第一考虑因素。而在自我标榜有着成熟DevOps实践的组织机构中,38%的受访机构表示安全是首要考虑因素且开发人员在安全上面投入大量时间。这说明开发过程中的安全实践比例要比DevOps团队高60%。

调查结果还显示,67%的开发人员并没有在安全方面投入足够的时间,或者他们认为这是其他人的责任。

DevSecOps 将会嵌入 DevOpsDevSecOps 将会嵌入 DevOps

鼓励新想法

毋庸置疑,开发人员将继续优先区分业务需求和市场需求:而这正是DevOps实践的用武之地,它能改变开发人员的这种心态以及开发行为。DevOps实践能够让开发人员从必须遵循强加的规则和指南转向创造性地决定采用新的、更加容易的、自动化方式提早且在SDLC整个过程中采用安全编码实践。

强调一系列的DevOps原则如文化、自动化和基础设施即代码能够让开发人员更多地了解到自己所构建的东西可被如何利用。DevOps文化并非盲目地遵循所要求的安全实践和控制,而是鼓励开发人员思考如何将确保应用程序的安全融入日常代码活动中。

一些组织机构鼓励开发人员像可能会利用代码中漏洞的攻击者那样思考。而另外一些组织机构帮助开发人员更好地理解他们所面临的挑战即在最后期限完成编程的同时确保代码的安全。这种实践有助于引起同理心,同时让软件变得更加安全。

从被动到主动

改变软件的构建方式也有助于开发和安全团队的立场从被动转为主动。过去,软件安全关注的是预测攻击的来源和发动方式并设置障碍来应对攻击,这个过程耗时较长。此外,有必要注意到的一点是,人们并无法预测到多数攻击尤其是复杂攻击,也就是说随着新型攻击的发现,修复方案通常会跟上。无法预测攻击这一事实就是为何新的0day漏洞出现后会看到作为响应的补丁。

随着DevSecOps的到来,人们就能主动将保证软件安全的精力投入到打败攻击的过程中。例如,某些组织机构正在构建的软件的攻击面在缩小,从而既能快速部署又能快速恢复。换句话说,开发人员不再那么担心被黑,而更担心如何阻止可预见的攻击并快速从网络事件中恢复。

开发人员还在寻求多种创新方式,从而让软件承受攻击并继续发挥作用。换句话讲,软件应该“弯曲”而非“破裂”。这种从阻止到“弯曲而非破裂”的思维方式转变能让人们在应对攻击时变得更加灵活。

安全不拖累交付

DevSecOps的新兴概念主要是为了在增强应用程序安全性的同时不能拖累发布和部署周期。这些技术包括在软件开发周期中增加安全测试技术如模糊测试和软件渗透测试。

其它技术包括在持续性整合平台中自动化安全分析,从而在SDLC中提早限制易受攻击代码的引入。这种方式能让开发团队提早考虑安全从而更快地推出修复方案。它能让积极编程的开发人员更容易地修复实时出现的问题,而不是等到几周或几个月之后才收到警告信息。

应用这些以及其它DevSecOps原则能为创造有弹性且安全的环境产生较大影响。如果正确执行这些原则,那么将有助于开发人员在正确的时间拥有正确的工具和正确的洞察力。如果在早期将安全构建于SDLC和所有地方,那么开发人员会更快地构建更好的软件。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1048994.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

C#生成自定义海报

安装包 SixLabors.ImageSharp.Drawing 2.0 需要的字体:宋体和微软雅黑 商用的需要授权如果商业使用可以使用方正书宋、方正黑体,他们可以免费商用 方正官网 代码 using SixLabors.Fonts; using SixLabors.ImageSharp; using SixLabors.ImageSharp.Draw…

win10默认浏览器改不了怎么办,解决方法详解

win10默认浏览器改不了怎么办,解决方法详解_蓝天网络 在使用Windows 10操作系统时,你可能会遇到无法更改默认浏览器的情况。这可能是因为其他程序或设置正在干扰更改。如果你也遇到了这个问题,不要担心,本文将为你提供详细的解决…

【小笔记】面对一个没搞过的任务,如何选择合适的算法模型?

【学而不思则罔,思而不学则殆】 9.28 1.确定问题定义 确定要解决的问题是一个什么类型,在算法中有没有一个专业的任务名定义它,确定了问题类型就明确了问题解决方向。 有时候我们要解决的问题可能有多种解决问题的角度,此时可能…

Java | CMD命令认识Java

文章目录 1. CMD命令2. Java概念1.1 Java是什么?1.2下载和安装1.2.1 下载1.2.2 安装1.2.3 JDK的安装目录介绍 1.3 Java语言的发展1.4 Java的三大平台1.4.1 JavaSE1.4.2 JavaME1.4.3 JavaEE 1.5 Java的主要特性1.5.1 Java语言跨平台的原理 1.6 Java中认识 JRE 和 JDK…

文明城市美丽乡村随手拍小程序开源版开发

文明城市美丽乡村随手拍小程序开源版开发 拍照功能:用户可以通过小程序直接打开手机相机,拍摄当前所见的城市或乡村美景。 美化照片功能:用户可以在拍摄或选择的照片上进行美化处理,如调整亮度、对比度、饱和度,添加滤…

为什么通配符SSL证书如此受欢迎?

SSL证书是网站安全的重要保障,而通配符SSL证书更是其中的一种。那么,通配符SSL证书有哪些作用呢?为什么通配符SSL证书如此受欢迎呢?下面,我们就来一起探讨一下。 通配符SSL证书的作用有哪些? 通配符SSL证书…

如何管理好公司的公海客户呢?

销售周期比较长,线索处理比较繁琐,想知道用哪些系统可解决这一问题? 很简单,针对客户管理繁杂,线索复杂的问题,crm系统中的公海池就可以轻松解决。 接下来我将以简道云为例为大家进行详细的公海池介绍 ht…

美容店预约小程序搭建流程

随着科技的不断发展,小程序已经成为了人们生活中不可或缺的一部分。对于美容店来说,搭建一个预约小程序不仅可以提高工作效率,还可以增加客户数量、提高服务质量。那么,如何搭建一个美容店预约小程序呢?本文将为你详细…

计算机竞赛 深度学习大数据物流平台 python

文章目录 0 前言1 课题背景2 物流大数据平台的架构与设计3 智能车货匹配推荐算法的实现**1\. 问题陈述****2\. 算法模型**3\. 模型构建总览 **4 司机标签体系的搭建及算法****1\. 冷启动**2\. LSTM多标签模型算法 5 货运价格预测6 总结7 部分核心代码8 最后 0 前言 &#x1f5…

【N年测试总结】区块链行业测试特点

一、区块链业务系统简介 转入转出业务:这类业务一般会涉及币的转入和转出,转入的流程一般是用户从第三方钱包往用户在公司的地址转入,系统收到用户的转入操作消息通知后,定时在链上监控该地址相关的交易,通过校验各项…

20分钟彻底理解Pointpillars论文-妥妥的

PointPillars: Fast Encoders for Object Detection from Point Clouds PointPillars:快就对了 摘要(可跳过): 这帮人提出了PointPillars,一种新颖的编码器,它利用PointNets来学习以垂直列组织的点云&am…

LaTex一行排列多个图,并且加入每个图都添加小标题

1、Latex中将字母上下方插入字母数字\mathop{a}\limits_{i1}: a i 1 \mathop{a}\limits_{i1} i1a​ 2Latex罗马数字 大写:\uppercase\expandafter{\romannumeral20} 小写:\romannumeral20 2、LaTex一行排列多个图,并且加入每个…

【轮趣-科大讯飞】M260C 环形六麦测试 1 - 产品介绍与配置

原文发布在飞书上,想要的伙伴请联系我,懒得把飞书链接放这了

RK3568驱动指南|第五期-中断-第47章 工作队列传参实验

瑞芯微RK3568芯片是一款定位中高端的通用型SOC,采用22nm制程工艺,搭载一颗四核Cortex-A55处理器和Mali G52 2EE 图形处理器。RK3568 支持4K 解码和 1080P 编码,支持SATA/PCIE/USB3.0 外围接口。RK3568内置独立NPU,可用于轻量级人工…

微信群发消息如何突破200人?

微信群发怎么设置? 1. 打开微信,点击右下角的“我”,然后选择“设置”。 2. 在设置页面中,选择“通用”选项。 3. 在通用页面中,选择“辅助功能”选项。 4. 在功能页面中,你会看到“群发助手”选项。点…

【Mysql专题】一条SQL在Mysql中是如何执行的

目录 前言前置知识课程内容一、Mysql的内部组件结构1.1 Server层1.2 引擎层(Store层) 二、连接器三、查询缓存(Mysql8.0后已移除)四、分析器4.1 词法分析器原理 五、优化器六、执行器学习总结 前言 知其然,当知其所以…

排序:简单选择排序算法分析

选择排序包括简单选择排序以及堆排序。 1.算法分析 每一趟在待排序元素中选取关键字最小的元素加入有序子序列。 n个元素的简单选择排序需要n-1趟处理。 2.代码实现 //交换 void swap(int &a, int &b) {int temp a;a b;b temp; }//简单选择排序 void SelectSort…

定义豪车新理念 远航汽车亮相2023中国(天津)国际汽车展览会

近年来,随着汽车行业竞争持续加剧,老品牌面临积极转型,新势力则经验不足、实力欠佳,到底是难抵市场的风云变幻。在此背景下,有着“老品牌 新势力”双重基因的远航汽车可谓底气十足。作为大运集团携手博世、华为、阿里斑…

nginx 多层代理 + k8s ingress 后端服务获取客户真实ip 配置

1.nginx http 七层代理 修改命令空间: namespace: nginx-ingress : configmap:nginx-configuration kubectl get cm nginx-configuration -n ingress-nginx -o yaml添加如上配置 compute-full-forwarded-for: “true” forwarded-for-header: X-Forwa…

谱瑞PS186|替代PS186方案|TypeC转HDMI4K视频转换方案设计

谱瑞PS186/PS188/PS176,是一系列Type-C/DP转HDMI 4K60的视频转换芯片,其中PS186是DP 2lane转HDMI 4K60,若是设计Type-C转HDMI方案还需加一颗C转DP协议转换芯片,这样成本更高。而集睿致远CS5366单颗芯片即可实现Type-C转HDMI 4K60HZ设计方案. …