应用程序安全策略 伴随DevOps的崛起,可能需要重新审视
发布时间:2022-05-20 09:12:34 所属栏目:安全 来源:互联网
导读:过去六年来,我一直在从事Veracode的项目管理工作。在那段时间里,我了解到很多部署AppSec策略的不同方法。通常,安全团队(CISO / CIO领导)部署适用于开发人员和工程师的AppSec策略。然而,随着软件开发和发布方式的迅速变化,几年前部署的大多数安全策略已
|
过去六年来,我一直在从事Veracode的项目管理工作。在那段时间里,我了解到很多部署AppSec策略的不同方法。通常,安全团队(CISO / CIO领导)部署适用于开发人员和工程师的AppSec策略。然而,随着软件开发和发布方式的迅速变化,几年前部署的大多数安全策略已不再为开发社区所接受。当我们没有快速,自动化的安全工具可以插入SDLC时,许多应用程序安全策略就建立起来了。现在,随着团队转移到DevOps和CI / CD,现在比以往任何时候都更重要的是重新制定新的策略,这些策略与开发人员“快速获得良好代码”目标相一致,而不是违反。 基于多年来的工作经验,我整理了一些在调整应用程序安全策略时需要考虑的事项,具体如下: 一定要包含静态、动态、组合分析等类型的评估。此外,他们需要多长时间才能解决找到的问题?根据缺陷的临界点增加宽限期,即需要在五天内确定非常严重的缺陷;中等严重缺陷需要在15天内修复;低临界缺陷不需要固定期限。 另外,增加频率和阶段的要求。他们多长时间需要扫描一次,以及在哪个发展阶段?这与所需的评估类型是一致的。如果要在DevOps中占有一席之地,安全性必须越来越多地向左移动。 此外,如果政策一直失败,安全需要与发展合作,并进行团队培训,如:由讲师指导的培训,研讨会,网络研讨会,电子教学,捕捉旗帜活动。 关键要点 •开发环境正在发生变化,确保您的安全策略与他们一起工作,而不是针对他们。 •安全策略需要成为“不判断区”。使用它们来帮助教育开发团队,了解他们正在努力的方向而不是批评他们的失败。 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐