【.com快译】安全曾经是开发阶段末期专门团队的职责,但随着开发周期的量和速度的增加,安全实践需要进化.这导致了DevSecOps(开发安全运维)的流行,它强调将安全融入DevOps。公司需要DevSecOps来确保项目安全可靠地运行。如果没有DevSecOps,DevOps团队需要在发现漏洞后重建和更新所有系统,这既费时又费力。以下是项目负责人在开始实施DevSecOps时需要考虑的四个关键因素:1.了解贵公司的安全策略和标准,以便在开发时明智地选择安全组件。重要的是要有适当的安全和审计策略,以便能够证明生产中预期的是实际运行的。能够验证您在生产中运行的软件不需要在原始代码中添加特殊代码,这样新代码就不需要重新测试和维护。事实上,如果您可以在运行时进行此验证并立即报告在您的应用程序上运行的所有组件,您的团队可以获得它一直缺乏的证据和监督:安全性、治理和合规性的证据。2.实现静态、可重现、不可变的构建环境。通过在整个组织内建立具有系统、可重复构建过程的构建环境,团队可以减少错误并确保应用程序质量。实施一个组织范围的流程,以解决依赖性、许可证和安全性的开源语言构建问题。这将消除在改造上浪费的时间,集成安全机制,并提高灵活性。受信任的、精心策划的语言分布可以为团队带来这些好处,并建立在开源语言的三个生命周期阶段:构建、认证和解决。3.积极主动。在开发过程中确定许可证合规性和漏洞注意事项,而不是事后才想到。了解应用程序中的组件,让所有应用程序组合都知道这些组件,并密切跟踪这些更新是一项繁重的工作。这实际上可以自动化,以了解团队对组件的依赖性以及与该组件相关的风险。这种方法使团队能够将安全目标放在首位并保持持续交付,同时自动通知开源组件的更新。应扫描所有第三方开源组件的许可证合规性和漏洞。应用程序的风险会随着时间的推移而变化,因此有必要在整个软件开发生命周期(包括CI/CD过程和投入生产)中密切关注开源软件包,同时关注漏洞、到期日期和许可。以前,在SDLC和生产环境中跟踪安全性需要安装某种持续运行的代理,或者在系统级别使用应用程序扫描工具(AST),或者在应用程序代码中使用运行时应用程序自我保护(RASP)解决方案。如今,使用解释器插件的无代理监控可以将安全机制直接部署到源代码中,这样安全团队就可以跟上开发的步伐并更快地将产品推向市场。这种方法可以让合规性、信息安全和风险管理团队更深入地了解安全性。4.尽可能使用来自积极维护的项目的最新版本的组件。过时或维护不善的开源软件可以为犯罪分子提供利用和破坏关键任务应用程序的机会。许多开源包是由多个贡献者创建的,可能没有经过严格的安全审查过程。此外,即使过去对软件包进行了安全评估,它们也可能包含新的和未知的漏洞。现有工具和流程无法检测到这些新漏洞。为了解决这些问题,组织应该实施政策来防止使用易受攻击的包、模块和库;维护应用程序使用的最新包清单;并根据可靠的信息来源定期检查漏洞。如果发现任何软件包包含漏洞,则必须对其进行修补并部署新版本。新的安全机会在组织内实施DevSecOps标准并不完全是开发人员的责任。但是,开发人员有责任在开发过程中设置安全标准。为什么不超越最基本的许可合规性、漏洞检查和组件检查,并使用可用的工具和流程来制定更强大的安全标准?DevSecOps提供的解决方案可以节省时间、避免挫折和返工,同时提高安全性并缩短上市时间。机会。原标题:DevSecOps:4keyconsiderationsforbeginners,作者:BartCopeland
