方法|教你一招更好的DevSecOps方法—玩转安全测试( 二 ) |玩转|漏洞|

如果您了解上述挑战并且已准备好上手，则首先将测试工具集成到现有开发工作流程中。这是每日采用和从投资中获得最大投资回报的关键。让我们看看如何将Parasoft工具集成到典型的CI/CD管道中，以及如何利用它们在DevOps中“左移”安全性。

本文插图

教你一招更好的DevSecOps方法—玩转安全测试
在这里，您可以看到工作流中的前提交和后提交，以及在将代码提交到源存储库之前和之后的代码分析。在签入代码之前帮助开发人员提高质量和安全性是“左移”的重要优势。我们的工具从此处开始，然后在检入、构建和部署代码之后继续提供帮助。
预提交工作流程：

确定适合项目和组织需求的安全标准（例如OWASP ， CWE ， CERT）。例如，可以自定义级别和编码标准的组成，以满足您的需求，并且可以将安全性和质量标准结合在一起。
将安全策略封装在测试配置中。通常在整个项目中由团队负责人集中完成。
使定义的配置可供开发人员在编写和测试其代码时使用。这里的主要好处是在每个开发人员的桌面环境中都采用了这些标准，因此每个人都在按照相同的标准进行工作。
检入之前将检查器应用于代码。我们的经验表明，最佳实践是不要使对测试配置的合规性成为检入门，因为这将影响团队的效率和采用安全编码做法。经常会由于各种原因（工具不一定进行评估）而签入不完全兼容的代码，并且工作流的提交后部分的目的是执行“完整分析”并充当安全网。

提交后的工作流程：

生成代码，运行现有测试，并执行项目范围内的静态分析。
检查发布到安全仪表板的结果，以确定需要关注的领域。
分析结果，确定违规的优先顺序，并以任务的形式为相应的开发人员分配违规。使用Parasoft ，可通过预设和可自定义的仪表板获得即时反馈。
采取措施解决已发布并在每个人的IDE中可供查看的警告和违规行为。

内置安全性是质量的一部分大多数软件团队都知道交付高质量代码的需求，而不管其当前过程的成熟程度如何。利用现有的心态来提高安全性，您可以将安全性要求、控件和标准交织在一起，作为现有质量改进过程的一部分。在仪表板级别，实时查看安全法规遵从性，并能够根据突出显示的关注区域深入研究问题区域，有助于安全性成为日常质量管理的一部分。
总结重要的是在开发生命周期中尽早确定安全的优先级，以“左移”执行安全标准和良好实践，并成功实现DevSecOps 。为此，您需要一个易于开发且易于采用的过程来在开发人员编写代码后立即检测并消除漏洞。 Parasoft的实时、可自定义的分析和报告仪表板向团队负责人和安全专家提供有关项目状态，对选定标准的遵守情况以及最关注的确切问题的即时反馈，以便整个组织可以了解风险。