方法|教你一招更好的DevSecOps方法—玩转安全测试
本文插图
教你一招更好的DevSecOps方法—玩转安全测试
如今 , DevSecOps的大多数问题都回到了组织 , 他们试图通过在产品周期结束时添加测试来“修复”安全性 , 希望能够抓住一些关键漏洞 。 在本文中 , 学习如何通过有效策略将安全测试转移到支持DevSecOps的最早开发阶段来解决这一问题 。
在上一篇文章中 , 我讨论了SecDevOps以及为什么它比常用的DevSecOps更好 。 安全性通常在发布产品之前作为附加程序或门控流程保留 , 但是当产品半途而废时 , 很难解决安全性问题 。 如成功将SecDevOps中的安全性向左移(更常见的名称DevSecOps并不暗示)一样 。 安全性必须成为每个开发人员日常工作流程的一部分 , 并且必须集成到软件管道中 。
作为Parasoft产品副总裁 , 我的工作是确保我们为客户简化此工作 。 这是什么意思?首先 , 这意味着自动化安全控制和策略的左移 , 以帮助我们的客户在管道中建立安全性 , 同时减少DevSecOps的影响和风险 。 你是怎么做到的?在下面阅读更多内容 , 以了解如何缓解将安全性集成到DevOps中的传统挑战 。 然后 , 我们将检查DevSecOps工作流程 , 该工作流程已成功将安全性向左移动(应为左移) 。
解决阻碍成功的DevSecOps策略的挑战
如今 , DevSecOps的大多数问题都回到了组织 , 他们试图通过在产品周期结束时添加测试来“修复”安全性 , 希望能够抓住一些关键漏洞 。 以下是发生这种情况的原因和原因 , 以及如何使用更智能的安全方法解决它们 。
挑战:很难知道如何“修复”安全性
大多数开发人员和测试人员还不是安全专家(尚未!) , 因此 , 当不清楚要做什么时 , 要在开发的后期阶段“修复”安全性是一个很高的要求 。
解决方案:逐步提高安全性
相反 , 团队可以使用集中化策略(例如安全编码标准和针对常见漏洞的静态分析检查)来逐步改善整个开发生命周期中的安全性 。 另外 , 安全工具可以为开发人员和测试人员提供有关漏洞存在的原因 , 如何利用漏洞以及最终将其删除和测试的指南 。 使用Parasoft的静态分析工具 , 您可以轻松地基于行业安全的编码标准(即CWE , OWASP , CERT , UL 2900)定义集中式策略 。 还内置了文档、示例和嵌入式培训 , 以使整个团队可以继续学习下一步的工作 。
挑战:周期末安全测试导致生产中的延迟和漏洞
试图将鞋拔的安全性变成几乎完整的产品的通用方法是不够的 。 太多的漏洞正在进入生产代码 。
解决方案:将安全性分析集成到开发的最早阶段
相反 , 可以将安全性纳入日常开发和运营中 。 开发人员应该能够直接在IDE内部执行分析 , 从而将安全合规性转移到开发的早期阶段 。 Parasoft工具与构建过程集成在一起 , 并提供CI插件以验证漏洞不在CI管道之外 。 收集的数据存储在每个构建的基础上 , 可用于报表和分析仪表板 。
挑战:直到最后一刻 , 项目安全风险的状态未知
由于缺乏任何类型的漏洞评估 , 因此在进行某种测试之前 , 项目具有完全未知的安全风险 。 完成后期周期测试后 , 发现的安全漏洞往往会导致后期周期变更和返工 。 尽管在最后一刻做出了英勇的努力 , 但许多安全漏洞仍将其传递给客户 。
解决方案:持续监视软件质量和安全性
为了实现优先级划分和课程更正 , 实时合规性报告应提供易于访问的仪表板 , 并具有数据的顶级和深入了解 。 Parasoft通过高度可定制的安全仪表板消除了安全监督的开销 , 这些仪表板是交互式的 , 可以从任何位置访问 , 并且可以针对任何用户进行设计 , 从开发人员到团队领导再到上级经理 。
使用Parasoft进行更智能的SecDevOps工作流程
推荐阅读
- 中子|中子的寿命到底有多长?多种方法试错,谜题亟待解决!
- 电脑使用技巧|USB功能激活方法再不记住就OUT了?
- 拼多多|越补越疯狂!拼多多瞄准文教领域,一招要让学生党省钱到底
- 新机发布|摩托罗拉找到了隐藏Moto Razr 5G指纹传感器的好方法
- 科学|中子的寿命到底有多长?多种方法试错,谜题亟待解决!
- 电脑使用技巧|网口不够用?一招教你将 NAS 变身虚拟交换机
- 行业互联网|韩国地方法院裁决SK Innovation败诉与LG Chem电池诉讼案
- 页面|3招教你怎么做网站长尾关键词页面的内容
- 电脑使用技巧|win7重装系统后没声音解决方法
- 中年|俄罗斯为何从不担心芯片卡脖?美国拿它也没辙,方法值得中国学习