首頁(yè)|必讀|視頻|專(zhuān)訪|運(yùn)營(yíng)|制造|監(jiān)管|大數(shù)據(jù)|物聯(lián)網(wǎng)|量子|元宇宙|博客|特約記者
手機(jī)|互聯(lián)網(wǎng)|IT|5G|光通信|人工智能|云計(jì)算|芯片報(bào)告|智慧城市|移動(dòng)互聯(lián)網(wǎng)|會(huì)展
首頁(yè) >> 技術(shù) >> 正文

新思科技強(qiáng)調(diào)軟件安全是數(shù)字化轉(zhuǎn)型的“剛需” DevSecOps可幫助企業(yè)走出“安全孤島”

2021年12月1日 15:24  CCTIME飛象網(wǎng)  

最新《中國(guó)DevOps現(xiàn)狀調(diào)查報(bào)告(2021年)》顯示

新思科技Coverity在安全工具市場(chǎng)占比最高,達(dá)32.74%

飛象網(wǎng)訊 我們正走向萬(wàn)物互聯(lián)的時(shí)代,產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型是當(dāng)下及未來(lái)的必經(jīng)之路,這一切都離不開(kāi)軟件的驅(qū)動(dòng)。安全是成功數(shù)字化轉(zhuǎn)型的前提。在數(shù)字化轉(zhuǎn)型過(guò)程中,原來(lái)相互隔離的信息化系統(tǒng)已無(wú)法滿足需求,傳統(tǒng)的安全防護(hù)方式可能不足以應(yīng)對(duì)更加開(kāi)放、多元的應(yīng)用場(chǎng)景,一旦發(fā)生攻擊,企業(yè)將承擔(dān)巨大損失。因此,可以說(shuō)軟件安全在很大程度上影響數(shù)字化轉(zhuǎn)型的速度和質(zhì)量。

由于新技術(shù)不斷涌現(xiàn)及其應(yīng)用日趨成熟,軟件開(kāi)發(fā)模式發(fā)生改變,DevOps 快速興起,并緊隨安全“左移”被廣泛認(rèn)可,DevSecOps 已經(jīng)成為很多企業(yè)數(shù)字化轉(zhuǎn)型過(guò)程中應(yīng)用安全的基礎(chǔ)保障。這不僅有利于企業(yè)更快速、更安全地將產(chǎn)品上市,也加速了社會(huì)數(shù)字經(jīng)濟(jì)的發(fā)展。

新思科技一直致力于幫助企業(yè)更快速地構(gòu)建安全、優(yōu)質(zhì)的軟件,在推動(dòng)DevSecOps落地方面有豐富經(jīng)驗(yàn)。新思科技強(qiáng)調(diào)引入DevSecOps可以從源頭及時(shí)治理安全問(wèn)題,走出“安全孤島”。但是隨著網(wǎng)絡(luò)環(huán)境與黑客攻擊方式越來(lái)越復(fù)雜、企業(yè)文化鴻溝以及高效工具缺失等問(wèn)題,落地DevSecOps對(duì)于現(xiàn)代IT企業(yè)來(lái)說(shuō)是一件很棘手的工作。

新思科技軟件質(zhì)量與安全部門(mén)高級(jí)安全架構(gòu)師楊國(guó)梁表示:“DevSecOps不止是一套工具,而是融合開(kāi)發(fā)、安全及運(yùn)營(yíng)理念以創(chuàng)建解決方案的系統(tǒng)方法。這需要把人員、流程、技術(shù)、工具結(jié)合起來(lái),由內(nèi)到外強(qiáng)化應(yīng)用,使其能夠靈活防御各種潛在威脅。新思科技通過(guò)實(shí)際經(jīng)驗(yàn)總結(jié)出一些建議,助力企業(yè)更高效地落地DevSecOps,進(jìn)而推動(dòng)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型,更快地邁上高質(zhì)量發(fā)展之路。”

培養(yǎng) DevSecOps 文化和思維,進(jìn)行安全培訓(xùn)

DevSecOps的核心是文化和思維方式。以前,安全防護(hù)只是特定團(tuán)隊(duì)的責(zé)任,在開(kāi)發(fā)的最后階段才會(huì)加入;但是這種做法現(xiàn)在已經(jīng)行不通了。DevSecOps要求

通過(guò)專(zhuān)業(yè)培訓(xùn)在企業(yè)內(nèi)部全面建立起安全意識(shí)與安全保障機(jī)制。有些企業(yè)會(huì)有一種誤區(qū),覺(jué)得開(kāi)發(fā)人員可以滿足整個(gè)軟件開(kāi)發(fā)生命周期(SDLC)中的任何安全需求,或者開(kāi)發(fā)人員可以自學(xué)這些安全知識(shí)。

楊國(guó)梁介紹道:“自學(xué)可能適用于少數(shù)開(kāi)發(fā)人員,但是需要多長(zhǎng)時(shí)間以及評(píng)估指標(biāo)是什么很難界定,尤其是DevSecOps還沒(méi)有在真正意義上普及起來(lái)。企業(yè)更需要安全專(zhuān)家提供培訓(xùn),以幫助他們與時(shí)俱進(jìn)。新思科技可以提供安全發(fā)展計(jì)劃和培訓(xùn)、CI/CD 戰(zhàn)略與規(guī)劃及云安全評(píng)估等,推動(dòng)企業(yè)循序漸進(jìn)地部署DevSecOps!

企業(yè)可以將DevSecOps文化融入日常職能,平衡安全、速度和規(guī)模。如果內(nèi)部某一團(tuán)隊(duì)有效實(shí)施了DevSecOps,并從中獲益,那他們可以成為其他團(tuán)隊(duì)的范例,復(fù)制成功。

整合自動(dòng)化工具,內(nèi)置安全

云計(jì)算開(kāi)源產(chǎn)業(yè)聯(lián)盟近期發(fā)布的《中國(guó)DevOps現(xiàn)狀調(diào)查報(bào)告(2021年)》顯示,五成以上的受訪企業(yè)嘗試實(shí)踐DevSecOps。而且,源代碼靜態(tài)安全檢測(cè)、容器鏡像安全掃描以及Web應(yīng)用防火墻成為企業(yè)應(yīng)用最廣泛的DevSecOps實(shí)踐。

楊國(guó)梁說(shuō):“報(bào)告指出Coverity靜態(tài)應(yīng)用安全測(cè)試(SAST)是企業(yè)應(yīng)用最為廣泛的四種安全工具之一,并且占比最高,達(dá)32.74%。這證明了新思科技的靜態(tài)分析解決方案已經(jīng)受到中國(guó)市場(chǎng)的充分認(rèn)可!

憑借Coverity,企業(yè)可以實(shí)現(xiàn)大規(guī)模靜態(tài)分析自動(dòng)化,幫助開(kāi)發(fā)和安全團(tuán)隊(duì)在SDLC早期解決安全和質(zhì)量缺陷,跟蹤和管理整個(gè)應(yīng)用組合的風(fēng)險(xiǎn),并確保符合安全和編碼標(biāo)準(zhǔn)。此外,新思科技還提供Black Duck軟件組成分析(SCA)、Seeker交互式應(yīng)用安全測(cè)試(IAST) 以及API 安全測(cè)試等工具,在軟件中內(nèi)置安全,并貫穿整個(gè)SDLC。

將安全漏洞視為軟件缺陷,適時(shí)評(píng)估安全計(jì)劃成果

安全漏洞的報(bào)告方式通常不同于質(zhì)量和功能缺陷。通常,企業(yè)在兩個(gè)不同的位置維護(hù)兩種類(lèi)型的結(jié)果——安全和質(zhì)量。這降低了每個(gè)團(tuán)隊(duì)和相關(guān)人員在查看項(xiàng)目的整體安全狀況時(shí)的可見(jiàn)性。在同一處維護(hù)安全和質(zhì)量有助于團(tuán)隊(duì)以相同的方式和優(yōu)先級(jí)處理這兩種類(lèi)型的問(wèn)題。

在企業(yè)部署工具發(fā)現(xiàn)質(zhì)量和安全問(wèn)題并進(jìn)行修復(fù)后,要如何評(píng)估安全計(jì)劃的整體成果,以持續(xù)推進(jìn)DevSecOps呢?企業(yè)需要一把標(biāo)尺。

新思科技軟件安全構(gòu)建成熟度模型(BSIMM) 是一種基準(zhǔn)工具,通過(guò)數(shù)據(jù)驅(qū)動(dòng)的客觀方式展示當(dāng)前軟件安全性活動(dòng)的概況。與規(guī)定性模型不同,描述性模型BSIMM實(shí)際相當(dāng)于一個(gè)行業(yè)報(bào)告,企業(yè)可以參照其中的數(shù)據(jù)來(lái)定位自己的坐標(biāo),考核軟件安全計(jì)劃大致在一個(gè)什么水準(zhǔn),是否需要做改進(jìn)和進(jìn)一步提升等等。企業(yè)可以憑借這把標(biāo)尺決定哪些額外安全活動(dòng)對(duì)支持其整體DevSecOps戰(zhàn)略有意義,并且有針對(duì)性地制定下一步計(jì)劃。

楊國(guó)梁總結(jié)道:“軟件安全是數(shù)字化轉(zhuǎn)型的‘剛需’,DevSecOps可將安全防護(hù)融入整個(gè)SDLC,充分發(fā)會(huì)DevOps的敏捷性和響應(yīng)力。當(dāng)然,落地DevSecOps不會(huì)一蹴而就,需要一套整體的規(guī)劃,覆蓋人員、技術(shù)、流程、評(píng)估等。因此,軟件開(kāi)發(fā)需要聯(lián)動(dòng)安全開(kāi)發(fā)與業(yè)務(wù)、運(yùn)維等,將安全開(kāi)發(fā)作為企業(yè)文化延伸到各個(gè)部門(mén)。新思科技一直強(qiáng)調(diào)安全測(cè)試應(yīng)盡可能在 SDLC 的最左側(cè)(即最早期)開(kāi)始,即安全‘左移’。防患未然,才能為DevSecOps順利落地保駕護(hù)航!

編 輯:章芳
聲明:刊載本文目的在于傳播更多行業(yè)信息,本站只提供參考并不構(gòu)成任何投資及應(yīng)用建議。如網(wǎng)站內(nèi)容涉及作品版權(quán)和其它問(wèn)題,請(qǐng)?jiān)?0日內(nèi)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除內(nèi)容。本站聯(lián)系電話為86-010-87765777,郵件后綴為#cctime.com,冒充本站員工以任何其他聯(lián)系方式,進(jìn)行的“內(nèi)容核實(shí)”、“商務(wù)聯(lián)系”等行為,均不能代表本站。本站擁有對(duì)此聲明的最終解釋權(quán)。
相關(guān)新聞              
 
人物
工信部張?jiān)泼鳎捍蟛糠謬?guó)家新劃分了中頻段6G頻譜資源
精彩專(zhuān)題
專(zhuān)題丨“汛”速出動(dòng) 共筑信息保障堤壩
2023MWC上海世界移動(dòng)通信大會(huì)
中國(guó)5G商用四周年
2023年中國(guó)國(guó)際信息通信展覽會(huì)
CCTIME推薦
關(guān)于我們 | 廣告報(bào)價(jià) | 聯(lián)系我們 | 隱私聲明 | 本站地圖
CCTIME飛象網(wǎng) CopyRight © 2007-2024 By CCTIME.COM
京ICP備08004280號(hào)-1  電信與信息服務(wù)業(yè)務(wù)經(jīng)營(yíng)許可證080234號(hào) 京公網(wǎng)安備110105000771號(hào)
公司名稱(chēng): 北京飛象互動(dòng)文化傳媒有限公司
未經(jīng)書(shū)面許可,禁止轉(zhuǎn)載、摘編、復(fù)制、鏡像