2020年RSA大会于2月24日至28日在旧金山召开。会议的主题是“人的因素”。去年是RSA大会DevSecOpsDay的转折点,超过800名从业者参加了为期一天的特别活动。今年的重点是从业者如何在组织内调整和转型到DevSecOps。它详细分析了组织面临的阻碍其进步的问题类型,以及如何获得公司各级的支持和帮助。此前,Roar在对参展商进行分析时发现,绝大多数公司都将重点放在了DevSecOps的话题上,这是一种将安全性引入应用程序开发生命周期、最大限度地减少漏洞并使安全性更接近IT的设计考虑。现实和业务目标。在当地时间2月24日结束的RSAC2020创新沙盒大赛上,十家初创公司中有一半专注于应用安全。可见,DevSecOps的落地已经成为大势所趋。笔者认为,DevSecOps的前提是软件开发生命周期中的每个人都应该对安全负责,本质上是将运维、开发和安全功能结合起来。也就是说,安全性嵌入到开发过程中。它不把安全固定在IT系统中,而是将安全管控流程嵌入到DevOps工作流中,完成安全管理的核心任务。DevSecOps的重要性体现在IT基础架构的巨大变化上:向动态配置、共享资源和云计算的转变推动了IT系统在速度、敏捷性和成本效益方面的演进,所有这些都有助于改进应用程序发展。在云中部署应用程序的能力提高了规模和速度,转向DevOps方法和持续交付使“大爆炸”应用程序成为过去。特别是,DevOps长期以来将开发和IT运营集成到“单一自动化保护伞下”的原则有助于从更频繁的功能发布调整到增强的应用程序稳定性等方方面面。然而,许多安全和合规性监控工具无法跟上这种变化,因为它们不是为开发代码而开发的,也无法以DevOps要求的速度进行测试。也出现了以下观点:安全是快速应用开发和IT创新的最大障碍。为了突破这一障碍,使安全与IT系统架构的结合更加巧妙,人们引入了DevSecOps方法论来改善安全带来的矛盾和障碍。DevSecOps时代已经到来DevSecOps优势:简而言之,它可以缩短实现更高标准自动化的时间长度,从而降低决策失误和一般操作失误导致系统停机或不同程度的攻击等风险。问题。当然,这种自动化也在一定程度上减少了安全人员手动配置平台的需要。随着企业从DevOps过渡到DevSecOps,我们看到了安全领域和开发人员领域的重叠。在RSAC2020大会上,无论是达美航空的《达美的DevOps转型》演讲,还是英特尔的《开发者安全政策与监管趋势》演讲,都发现很多会议都更加面向组织。如何应对DevSecOps转型,面临的烦恼和问题,进一步完善并更好地将安全纳入开发过程的最佳实践。RSAC2020InnovationSandbox上应用安全和DevSecOps公司概览:·BluBracket关键词:代码安全公司成立于2019年,BluBracket上周宣布获得650万美元投资。其主要的代码安全解决方案,第一个产品是BluBracketCodeInsight,这是一款已经发布使用的审计工具,可以让企业充分了解谁从Git仓库撤回了代码;第二个工具,BluBracketCodeSecure,要到2020年下半年才能面世。它保护代码安全,包括按分类对代码进行分类的安全能力。最高级别的代码会有特殊的地位,组织内可以给它加上额外的规则,比如:未经许可。分布在开源文件夹等。ForAllSecure关键词:下一代代码测试(fuzzing)解决方案,成立于2012年,2016年获得DARPA网络大挑战赛第一名;2017年入选《麻省理工科技评论》50家智慧企业;去年ForAllSecure在EnterpriseAssociates领投的NewRaised1500万美元A轮融资中上市。其技术平台Mayhem的下一代模糊测试安全解决方案旨在“自动识别和修复软件中的安全漏洞”,对当前威胁做出足够快的响应,而模糊测试本身就是为了降低测试门槛,有效服务组织建立信任。ForAllSecure首席执行官DavidBrumley博士说:“如果一个组织中的安全人员不了解编码的基础知识,那么改进不是让他们成为开发人员,而是确保他们深入了解软件和计算机的工作原理,Sqreen关键字:RASP,WAFSqreen此前已经完成了1400万美元的A轮融资,该公司旨在提高Web应用程序和云基础架构的安全性。其目的是不要求组织更改代码或防火墙设置,通过在服务器上安装一个包并添加几行代码来在应用程序中执行所需的Sqreen模块,一种更轻量级的输出安全服务。其应用程序安全平台可帮助组织保护应用程序,提高可见性,并通过以下方式保护代码发现关键威胁,修复漏洞并将安全性集成到SDLC中。它提供了一个低成本、高级别的RASP+inAppWAF解决方案,这有助于快速部署、高可扩展性和减少延迟。TalaSecurity关键字:WAF的现代Web架构大大加速了网站和应用层攻击,例如Magecart、XSS、重定向攻击和基于Web的恶意软件。TalaSecurity的旗舰产品WAF,通过基于AI引擎的实时分析,解决了依赖JavaScript和第三方特权访问的威胁。其平台可以抵御最广泛的客户端攻击,对组织系统的性能影响为零。VulcanCyber??关键词:SOARVulcanCyber??于去年9月完成了1000万美元的A轮融资,至今累计融资1400万美元。该公司旨在通过自动修补来完成漏洞修复。其平台可自动执行优先级排序和部署流程,以更快地修复更多漏洞,有效降低业务运营风险和成本。VulcanCyber??可以与所有主要的云平台以及Puppet、Chef和A??nsible等工具以及GitHub、Bitbucket等工具很好地配合使用。它还集成了许多主要的安全测试工具和漏洞扫描器,包括BlackDuck,Nessus、Fortify、Tripwire、Checkmarx、Rapid7和Veracode。总结虽然CI/CD不断发展以满足软件开发不断增长的需求,包括容器编排,但应用程序中的许多默认设置需要额外的安全性强化。因此,将安全融入开发过程成为必然趋势。组织选择使用更好的DevSecOps工具来确保在构建、部署和程序操作的整个生命周期中纳入安全性。随后,通过营造良好的DevSecOps文化氛围,搭建起安全团队与运维团队之间的桥梁,保证开发团队在开发过程中也能及时确认安全。这一步可以通过自动检测和响应来推动。还需要注意的是,组织不仅要将DevSecOps纳入IT架构规划,还应尽可能从不同角度进行安全测试,以确保组织运行平台的安全。
