www.e4938.cn-老师你下面太紧了拔不出来,99re8这里有精品热视频免费,国产第一视频一区二区三区,青青草国产成人久久

<button id="60qo0"></button>

<strike id="60qo0"></strike>
<del id="60qo0"></del>
<fieldset id="60qo0"><menu id="60qo0"></menu></fieldset>
  • 應(yīng)用程序安全策略:隨著DevOps的崛起,可能需要重新審視

    2018-02-25 10:07:37 51CTO.com  點(diǎn)擊量: 評論 (0)
    過去六年來,我一直在從事Veracode的項(xiàng)目管理工作。在那段時(shí)間里,我了解到很多部署AppSec策略的不同方法。通常,安全團(tuán)隊(duì)(CISO CIO領(lǐng)

    過去六年來,我一直在從事Veracode的項(xiàng)目管理工作。在那段時(shí)間里,我了解到很多部署AppSec策略的不同方法。通常,安全團(tuán)隊(duì)(CISO / CIO領(lǐng)導(dǎo))部署適用于開發(fā)人員和工程師的AppSec策略。然而,隨著軟件開發(fā)和發(fā)布方式的迅速變化,幾年前部署的大多數(shù)安全策略已不再為開發(fā)社區(qū)所接受。當(dāng)我們沒有快速,自動(dòng)化的安全工具可以插入SDLC時(shí),許多應(yīng)用程序安全策略就建立起來了。現(xiàn)在,隨著團(tuán)隊(duì)轉(zhuǎn)移到DevOps和CI / CD,現(xiàn)在比以往任何時(shí)候都更重要的是重新制定新的策略,這些策略與開發(fā)人員“快速獲得良好代碼”目標(biāo)相一致,而不是違反。
    基于多年來的工作經(jīng)驗(yàn),我整理了一些在調(diào)整應(yīng)用程序安全策略時(shí)需要考慮的事項(xiàng),具體如下:

    應(yīng)用程序安全策略:隨著DevOps的崛起,可能需要重新審視

    首先實(shí)施可實(shí)行的政策
    如果首次引入安全性或首次執(zhí)行安全性,那么首先要制定一些可實(shí)現(xiàn)的政策標(biāo)準(zhǔn)。不要讓一個(gè)從未做過安全措施的團(tuán)隊(duì)嘗試滿足PCI或所有OWASP要求;因?yàn)樗麄兛隙o法滿足,并在開始之前放棄。
    從一個(gè)簡單的政策開始:沒有高或非常高的關(guān)鍵缺陷。隨著時(shí)間的推移,開發(fā)人員在日常工作中采用安全措施將會變得更加嚴(yán)格。
    不僅僅包含不允許的缺陷類型
    一定要包含靜態(tài)、動(dòng)態(tài)、組合分析等類型的評估。此外,他們需要多長時(shí)間才能解決找到的問題?根據(jù)缺陷的臨界點(diǎn)增加寬限期,即需要在五天內(nèi)確定非常嚴(yán)重的缺陷;中等嚴(yán)重缺陷需要在15天內(nèi)修復(fù);低臨界缺陷不需要固定期限。
    另外,增加頻率和階段的要求。他們多長時(shí)間需要掃描一次,以及在哪個(gè)發(fā)展階段?這與所需的評估類型是一致的。如果要在DevOps中占有一席之地,安全性必須越來越多地向左移動(dòng)。
    正確把控你的政策
    開發(fā)團(tuán)隊(duì)的發(fā)布速度越來越快,在保證速度同時(shí),還需要保證策略與開發(fā)人員在開發(fā)周期中使用的安全工具及解決方案保持一致。例如:不要求每次發(fā)布或在發(fā)布周期結(jié)束時(shí)進(jìn)行測試。在發(fā)布過程之外,將此類要求更改為季度。在每日發(fā)布周期中包含像靜態(tài)一樣的自動(dòng)化測試。另外,并非所有的應(yīng)用程序都是平等的,所以你需要為不同的應(yīng)用程序創(chuàng)建不同的需求。例如:具有IP的應(yīng)用程序是面向公眾的,具有第三方組件可能需要修復(fù)所有中等到非常嚴(yán)重的缺陷,單頁臨時(shí)營銷網(wǎng)站可能只需要修復(fù)高/非常高的缺陷。
    治理
    擁有應(yīng)用程序安全策略絕對是最佳做法,但如果沒有治理,它也是無用的。要保證跟蹤政策依從性(現(xiàn)在許多工具都內(nèi)置了可以報(bào)告的策略管理器)是安全的。
    此外,如果政策一直失敗,安全需要與發(fā)展合作,并進(jìn)行團(tuán)隊(duì)培訓(xùn),如:由講師指導(dǎo)的培訓(xùn),研討會,網(wǎng)絡(luò)研討會,電子教學(xué),捕捉旗幟活動(dòng)。
    關(guān)鍵要點(diǎn)
    •開發(fā)環(huán)境正在發(fā)生變化,確保您的安全策略與他們一起工作,而不是針對他們。
    •安全策略需要成為“不判斷區(qū)”。使用它們來幫助教育開發(fā)團(tuán)隊(duì),了解他們正在努力的方向而不是批評他們的失敗。
    •不要嚴(yán)格。首先制定策略,然后提升團(tuán)隊(duì)成員構(gòu)建安全代碼的negligence,并隨著時(shí)間的推移提供相應(yīng)的培訓(xùn),從而讓他們的能力變得更強(qiáng)。

     

    大云網(wǎng)官方微信售電那點(diǎn)事兒

    責(zé)任編輯:任我行

    免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實(shí)相關(guān)內(nèi)容。
    我要收藏
    個(gè)贊
    ?
    青柠影院免费观看电视剧高清8| 每日更新av网站免费观看| 色婷婷久久综合中文久久一本| 樱桃视频大全免费高清版观看| 久久伊人热精品老鸭窝| 中文字幕亚洲日韩精品一区无码| 婷婷综合另类小说色区| 久久亚洲精品无码| 色婷婷亚洲一区二区综合| 亚洲一码二码三码精华液|