为何DevSecOps是企业安全团队的“得力助手”?

在开发软件和应用程序时，安全永远不该该是过后才想到。然而，随着技术的不断进步，许多人所依赖的安全工具正在实时发生变化，如今须要新的策略来在产品出现以前消灭潜在的漏洞或黑客攻击。为了领先于网络犯罪分子者一步，是时候从新构想从“DevOps”到“DevSecOps”的应用程序开发流程了。html

DevOps是软件敏捷开发生命周期的演变，它在开发和运营团队之间架起了桥梁。它打破了孤岛，并提升了企业以比传统软件开发模型更快的速度交付应用程序和服务的能力。传统的“瀑布方法”须要很长的前期周期，致使过程繁琐乏味——当这些解决方案被认为能够发布时，市场可能已经发生了翻天覆地的变化。安全

今天，敏捷软件团队的发布周期只有几天或几小时，这增长了编写代码缺陷和引入漏洞的风险。那么，组织如何在保持快速地开发效率的同时，生成更安全的代码和应用程序，并在他们还不知道这些攻击是什么样的状况下阻止潜在的网络攻击?markdown

为了增强其产品、解决方案和合做伙伴的网络安全，公司有必要从DevOps文化转变为“DevSecOps”文化。网络

从头开始，保持安全

DevSecOps 将安全性置于整个开发过程的最前沿，确保良好的网络安全，是软件开发过程当中，开发人员和运营商始终要首先考虑的因素。这种思惟方式的转变鼓励企业寻找开发安全代码和应用程序的最佳方法——而且有各类资源和策略能够帮助开发团队作到这一点。app

四点安全解决方案

安全框架：从路线图开始老是最好的——经过寻找第三方资源以得到最佳实践，企业能够确保他们的软件几乎能够应对任何状况。例如，在成熟度模型中的构建安全性，又名 BSIMM，是一个很好的资源，它列出了120多个安全最佳实践，例如经过静态代码安全检测和动态分析进行的自动化安全测试，以帮助开发团队在设计解决方案时将这些安全工具放在首位.。框架

安全代码培训：开发人员不知道他们不知道的那些部分，所以企业能够对他们进行关键威胁和最佳实践的培训。经过实施持续的安全意识培训，确保团队已作好充分准备以检测和纠正其代码和产品中的任何漏洞。工具

安全门：在DevOps构建过程当中，安全门能够阻止发布——让安全和工程团队有足够的时间来肯定这些错误的严重程度将破坏整个构建。实施安全门将帮助团队在发布前准确肯定须要修复的内容。oop

实施多层安全策略：为了确保全面的安全，企业必须让安全成为每一个人的责任。例如，能够首先为开发人员提供在编写代码时检测漏洞的工具，而后利用内部团队按期运行静态代码安全检测和动态应用程序安全工具。为了增长安全性，组织能够引入外部测试人员来执行黑盒和灰盒测试;或者，他们能够创建一个漏洞赏金计划，并支付安全研究人员的费用来寻找更难发现的漏洞。post

为何要认真检查第三方代码库

Apache Struts、Telerik UK(第三方 .NET库)等第三方库对企业来讲既是福也是祸。一方面，组织能够利用他人构建的内容，对其进行调整并在此基础上创造更丰富的体验，而无需从头开始制做一切。测试

另外一方面，从代码库中引入恶意代码也十分容易，所以须要不断更新和升级库，并及时修补漏洞，以维护“干净”的代码库。开发人员将须要更新工具包，以确保按期和实时修补第三方材料的漏洞，由于即便您的团队或合做伙伴最轻微的疏忽也可能致使最严重的漏洞。

事实上，网络安全和基础设施安全局 (CISA) 最近发布了一份最常被利用的软件漏洞列表，Apache Struts是列表中第二大受攻击技术。攻击者还常常利用开源Web服务中的漏洞，例如捆绑在无数产品中的Apache Tomcat。

正在进行的打地鼠游戏

今天不存在的威胁和攻击方式明天将极可能利用您系统中的漏洞。然而，经过将安全放在首位并实施DevSecOps文化，企业能够更好地在威胁出现时缓解威胁，并在它们形成任何问题以前中断网络攻击。

下一波威胁即将到来，您的企业准备好了吗?

参读连接：

www.woocoom.com/b021.html?i…

threatpost.com/apps-built-…