1. 為何需要建立DevSecOps？

1.1應(yīng)用軟件安全風(fēng)險的影響
面對當(dāng)前萬物智能互聯(lián)、數(shù)字經(jīng)濟(jì)高速發(fā)展的大環(huán)境下，應(yīng)用軟件安全對于推動我國數(shù)字經(jīng)濟(jì)發(fā)展、維護(hù)社會穩(wěn)定及國家安全都將起著至關(guān)重要的地位和作用。據(jù)Gartner報告顯示：超過 80% 的網(wǎng)絡(luò)***都發(fā)生在應(yīng)用層，所披露的漏洞70%以上與應(yīng)用安全有關(guān)，特別是SQL注入、XSS、CSRF、目錄遍歷等漏洞，所以應(yīng)用安全將是安全保障的重中之重。

創(chuàng)新互聯(lián)公司服務(wù)項目包括競秀網(wǎng)站建設(shè)、競秀網(wǎng)站制作、競秀網(wǎng)頁制作以及競秀網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，競秀網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到競秀省份的部分城市，未來相信會繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

1.2安全需要前置
當(dāng)前以云計算、大數(shù)據(jù)及人工智能等為核心技術(shù)，構(gòu)建了萬物互聯(lián)的數(shù)字智能世界，消除了原有傳統(tǒng)網(wǎng)絡(luò)和應(yīng)用的邊界，讓原本邊界安全防護(hù)理念付諸東流，給安全帶來了極大的挑戰(zhàn)。
在萬物互聯(lián)背景下，我們要從“有病治病”向“增強體質(zhì)”的思維轉(zhuǎn)變，要圍繞以“業(yè)務(wù)和數(shù)據(jù)為核心”,以“在萬物互聯(lián)時代下，不僅需要更多的安全軟件，而且需要更安全的軟件”為安全理念，將安全工作前置在開發(fā)、測試等各個環(huán)節(jié)，達(dá)到“安全即代碼、治標(biāo)亦治本”的安全目標(biāo)。如未能在上線前和生產(chǎn)過程中進(jìn)行持續(xù)測試并且修復(fù)安全問題，就無法確保應(yīng)用上線及投產(chǎn)后其持續(xù)改進(jìn)的安全性。安全前置，不僅大大提升應(yīng)用軟件的安全能力，而且可在最早階段、用最低成本解決最大比例的安全風(fēng)險，所以安全前置是萬物互聯(lián)環(huán)境下的核心創(chuàng)新安全理念和最佳安全賦能措施。

1.3新技術(shù)新應(yīng)用所帶來的新風(fēng)險
萬物互聯(lián)的數(shù)字智能世界，推動著全球數(shù)字經(jīng)濟(jì)的高速發(fā)展，面對于云上應(yīng)用、大數(shù)據(jù)應(yīng)用、產(chǎn)業(yè)互聯(lián)網(wǎng)以及物聯(lián)網(wǎng)智能應(yīng)用軟件，消除了原有網(wǎng)絡(luò)和應(yīng)用的安全邊界，當(dāng)前主流檢測與防護(hù)技術(shù)都難以滿足萬物互聯(lián)背景下的安全賦能，特別針對當(dāng)前容器應(yīng)用、API、微服務(wù)等新應(yīng)用架構(gòu)和應(yīng)用加密、防重放、帶驗簽等新應(yīng)用場景下的安全賦能。
我們以“萬物互聯(lián)時代，不僅需要更多的安全軟件，而且需要更安全的軟件”為安全核心思想，讓安全貫穿開發(fā)至運營的各個環(huán)節(jié)。利用AI和自動化等新技術(shù)實現(xiàn)安全新賦能，將安全與軟件高度耦合的交互式應(yīng)用安全檢測與防護(hù)技術(shù)，讓安全與業(yè)務(wù)高耦合、相同步、相適應(yīng)，不僅為用戶提供更安全的軟件，同時也滿足在萬物互聯(lián)環(huán)境對應(yīng)用軟件的安全防護(hù)。

1.4運行防護(hù)也是重要組成部分
既不能陷入“將安全漏洞的數(shù)量降為零”的錯誤追求中，安全開發(fā)、測試的負(fù)擔(dān)識別加重，且很可能成為業(yè)務(wù)發(fā)展的一個障礙；所以持續(xù)的風(fēng)險和信任評估以及對應(yīng)用程序漏洞要進(jìn)行優(yōu)先級排序，可以通過使用運行時保護(hù)控制來補償已知較低風(fēng)險的脆弱性或未知脆弱性的剩余風(fēng)險。

1. 構(gòu)建DevSecOps工作的重點和難點

DevSecOps安全解決方案，以“萬物互聯(lián)時代，不僅需要更多的安全軟件，而且需要更安全的軟件”為核心安全理念，讓安全貫穿整個業(yè)務(wù)生命周期的各個環(huán)節(jié)，包括技術(shù)開發(fā)、測試、發(fā)布、上線、部署及運營等各個階段。從而構(gòu)建新一代安全、高效、合規(guī)的全生命周期應(yīng)用安全運營體系，從安全供給側(cè)為“數(shù)字經(jīng)濟(jì)”保駕護(hù)航。

2.1組織文化和思維方式的轉(zhuǎn)變
n 安全前置
DevSecOps安全解決方案以基于“萬物互聯(lián)時代，不僅需要更多的安全軟件，而且需要更安全的軟件”為核心安全理念；需要將安全工作前置在開發(fā)、測試等的各個環(huán)節(jié)，實現(xiàn)產(chǎn)業(yè)互聯(lián)背景下的安全賦能。

n 安全人人有責(zé)
讓開發(fā)、安全、運維共同擁抱DevSecOps理念與文化，需要改變過去只有安全人員對安全負(fù)責(zé)的態(tài)度和觀念，不能讓僅極少數(shù)的安全人員，被視為是對項目推進(jìn)的阻礙、內(nèi)部生產(chǎn)效率的破壞，必須能讓開發(fā)、運維和安全都應(yīng)該對安全負(fù)責(zé)，協(xié)同工作、共同擔(dān)當(dāng)。
n 安全服務(wù)經(jīng)營

安全目標(biāo)是應(yīng)用系統(tǒng)的安全風(fēng)險降低到用戶可接受的程度并滿足合規(guī)性的要求；如果沒有監(jiān)管方面的缺陷，那么可以接受多少風(fēng)險并不取決于信息安全，而是由業(yè)務(wù)應(yīng)用所有者最終做出的商業(yè)決策。

n 安全全生命周期
以基于“萬物互聯(lián)時代，不僅需要更多的安全軟件，而且需要更安全的軟件”為核心安全理念和安全服務(wù)經(jīng)營的宗旨。從而構(gòu)建基于應(yīng)用的全生命周期安全運營體系，讓安全貫穿整個業(yè)務(wù)生命周期（從開發(fā)到運營）的各個環(huán)節(jié)，包括技術(shù)開發(fā)、測試、上線及運營等各個階段的安全賦能。從而構(gòu)建新一代安全、高效、合規(guī)的全生命周期應(yīng)用安全運營體系，從安全供給側(cè)為“數(shù)字經(jīng)濟(jì)”保駕護(hù)航。

2.2安全集成流程自動化
信息安全要為企事業(yè)單位的經(jīng)營和發(fā)展服務(wù)，業(yè)務(wù)發(fā)展和工作效率是企業(yè)發(fā)展的關(guān)鍵要素與核心競爭力，信息安全工作必須適應(yīng)開發(fā)至運營各個環(huán)節(jié)的工具及流程，不能因信息安全工作讓開發(fā)、運維工作者離開他們熟悉的工具鏈環(huán)境，讓工作流程變復(fù)雜、工作效率更低，而是要讓IT工作者時間更有商業(yè)價值。DevSecOps是將安全通過AI和自動化檢測技術(shù)高效、透明地融入開發(fā)至運營的各個環(huán)節(jié)，集成到開發(fā)者的開發(fā)環(huán)境（IDE）和CI/CD工具鏈的工具中，不改變原有的工作環(huán)境和生態(tài)鏈，從而構(gòu)建便捷、高效、安全及合規(guī)的應(yīng)用安全能力。

2.3利用新技術(shù)賦能新安全
利用新技術(shù)推動安全來貫穿整個業(yè)務(wù)全生命周期的各個環(huán)節(jié)，滿足云上應(yīng)用、大數(shù)據(jù)應(yīng)用、工業(yè)互聯(lián)網(wǎng)等新技術(shù)應(yīng)用架構(gòu)下的安全賦能，從而更加有效保障其方案實施的便捷性、安全性和合規(guī)性。同時，應(yīng)更好適應(yīng)現(xiàn)有容器、微服務(wù)等云原生技術(shù)的新應(yīng)用架構(gòu)和識別開源軟件、第三方代碼庫及敏感信息泄漏等安全風(fēng)險的能力。
如交互式應(yīng)用安全測試系統(tǒng)-IAST，利用運行時非執(zhí)行態(tài)的核心安全檢測技術(shù)，通過功能操作即可自動化輸出安全結(jié)果，精確定位易受***的代碼行并提供了詳細(xì)的上下文修復(fù)示例，幫助開發(fā)團(tuán)隊可以快速修復(fù)漏洞?？赏耆鉀Q當(dāng)前漏洞掃描系統(tǒng)存在較高誤報率；人工***測試受技術(shù)專業(yè)能力的局限，而且費時費力，無法滿足產(chǎn)品快速迭代的需求；也完全滿足當(dāng)前容器應(yīng)用、API、微服務(wù)等新應(yīng)用架構(gòu)和應(yīng)用加密、防重放、帶驗簽等新應(yīng)用場景下的安全風(fēng)險。

通過自適應(yīng)應(yīng)用安全架構(gòu)和智能檢測算法，可實現(xiàn)執(zhí)行類0 day應(yīng)用漏洞的實時檢測與防護(hù)，達(dá)到運行時"自我保護(hù)"的安全能力；同時可對敏感信息、運行環(huán)境及三方組件進(jìn)行實時安全檢測和分析；完全適用云上應(yīng)用、大數(shù)據(jù)技術(shù)應(yīng)用和物聯(lián)網(wǎng)智能互聯(lián)等應(yīng)用平臺的安全檢測和防護(hù)。

新聞標(biāo)題：DevSecOps構(gòu)建原因和構(gòu)建重點
本文網(wǎng)址：http://www.rwnh.cn/article14/jijpde.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供電子商務(wù)、品牌網(wǎng)站設(shè)計、網(wǎng)站制作、定制網(wǎng)站、網(wǎng)站收錄、網(wǎng)站設(shè)計

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)