應用安全左移-使用正確的安全工具彌合DevOps 與安全之間的鴻溝-DevOps社區(qū)

應用安全左移應用安全左移998-9938或corporate@ore第一版的修訂歷史已盡力確保本作品中包含的信息和說明準確無誤，但出版商和作者許可證或他人知識產權的約束，則您有責任確保您對其的使用符合此類將安全左移意味著從流水線的最早階段就引入工具和流程來在報告結束時，你將能夠向你的組織提出一些應用程序安全建之間和諧的關系和一組共享的安全優(yōu)先級，任何組織都可介紹程序的悠久歷史的工具似乎已經過時，被貼上“遺留”工具的標簽用程序防火墻(WAF)這類工具提供了運行時保護和有關應用已經適應了現(xiàn)代基礎設施和應用程序，隨著威脅行為者開發(fā)出有意識的文化轉變，使安全成為每個人的責任，從設計到生產的整個過程都這一轉變的驅動力是經由利用來自運行時工具從根深蒂固的流程到預算，再到內部政治，許多因素都可能致使如將左移策略引入持續(xù)集成和持續(xù)部署(CI/CD)軟件流水線的一些策第1章DevOps和DevSecOps的壓力，敏捷開發(fā)方法將大型任務分解為若干更小的單元，從構將從單體模型轉向微服務，這使得分散的團隊可以在不同的的，這也是DevOps發(fā)揮作用的所在之處。DevOpsDevOps是一種概念，是涵蓋了多項目標的一系列實踐。DevOps將開發(fā)和運營結了負責其中不同任務團隊之間的界限，使他們能夠建立應用程序和功持續(xù)集成意味著在開發(fā)后盡快將代碼變更合并到共享的主代碼開發(fā)流水線的早期階段，測試和反饋循環(huán)變得更快這種安全方法在傳統(tǒng)的單體軟件開發(fā)過程中并不十分有DevSecOps有的速度和敏捷性。正如DevOps賦予更多開發(fā)人員測試自己代碼的職責一樣，DevSecOps將安全實踐構建到應用程序開發(fā)生命周期的每個階段，并在每個步驟最佳實踐，并指導每個人接納安全思維方式不同的團隊開始將自己視為單一文化的一部分，并DevOps和DevSecOps如何改變團隊軟件開發(fā)過程帶來靈活性和透明度，DevSecOps便轉向于可在被安全流程阻斷其工作，安全團隊也將發(fā)現(xiàn)自己不再需要重復解決相同采納DevSecOps的挑戰(zhàn)采納DevSecOps實踐具有非常明顯的優(yōu)勢，但這并不意味著其中的每一步都很容易，從保護分布式應用程序的日常機制到重大的理念變革，DevSecOps都會為團隊傳統(tǒng)意義來說，安全性側重于易于理解的應用程序邊界，通跨多個網域進行通信，并且處理來自全球的設備和用戶數據，這就使得的攻擊面又大又難定義，幾乎不可能盤點這些服務之間的所有交互或者發(fā)實踐經驗，而且還需要足夠的知識來理解他們負責解決的少的費用更早的得到解決，并且也為參與軟件開發(fā)過第2章安全左移DevSecOps：安全左移傳統(tǒng)上，安全和其他測試放在軟件開發(fā)過程的最后階段安全左移需要在整個軟件供應鏈中采取強有力的應用缺陷解決方案，并減輕運營團隊的應用程Research和Assessment團隊（DORA）制作的《加速DevOps狀態(tài)狀態(tài)報告安全左移的挑戰(zhàn)在一些組織中，不同的團隊在如何自我組織和工作方面有很大熟，他們傾向于與組織范圍內的最佳實踐保持一致，但當左移時，如果公司文化對于問責過于正式，那么安全團隊之外的人員可能很難在SDLC早上緩解，但對于參與應用程序開發(fā)和運維的每個人額外的責任負擔，并且是安全人員與組織中其他人作。敏捷方法和DevOps提高了軟件開發(fā)和部署的速度，要求公司在不犧牲可靠性和從而破壞了安全團隊試圖與開發(fā)和運維團隊建立為什么左移很重要客戶與服務或應用程序的每次交互都代表著公司與客戶之型組織中，存在大量潛在的漏洞，其中任何一個漏洞雖然正在開發(fā)的應用程序和服務是最重要的安全目它們就可能會在整個軟件流水線中一直傳播到構建和部署階段，變革策略將安全左移的好處是顯而易見的：與在瀑布式開發(fā)過程只有讓每個人都成為利益相關者，您的組織才能完開發(fā)人員必須負責評估和管理這些風險，并繼續(xù)積累們對可能發(fā)生的攻擊的廣泛知識，幫助開發(fā)人員更必須與開發(fā)團隊共享這些信息，從而幫助每個人的第3章應用安全安全領域正在如何變化基礎設施即代碼，必須使用聲明性策略來維護所需的安全威脅于靜態(tài)規(guī)則的安全性無法跟上攻擊策略的變化以及應過程中使用過時或易受攻擊的包作為依賴項以及不安全的設計都可能DevSecOps方法安全左移有助于通過使安全成為工作流程中查看可用的端口和組件，要傳輸或暴露的信息以及如何在傳輸和靜態(tài)人類的專業(yè)知識是無可替代的，但自動代碼掃描和安全測試工具盡管SAST和DAST有助于保護應通過以聲明方式管理策略，直接從API模式獲取策略，第4章場景：文化轉變層明白這種方法無法擴展，但轉向DevS最后一點很關鍵：無論開發(fā)過程中的漏洞檢測有多好，你WAF這樣的工具可以在整個過程中插入，提供最后一道防線和強大的反饋源，具可以幫助驗證應用程序的性能是否符合設計要求，從實例：歐洲某大型銀行實例：澳大利亞某銀行很大的控制權，而云上則不同，它可以讓開發(fā)團隊在安全團隊不知在向云遷移的推動下，安全團隊在應用程序運行環(huán)境中管理WA在許多企業(yè)中，應用程序開發(fā)人員與其他團隊之間的分歧是文全是事后才考慮的問題，一個知識淵博的支持者可以幫助工程師理解，在結論建安全性很重要，但更需要整體方法：像威脅行為者一樣互連系統(tǒng)和服務之間通信的復雜性使得應用層既難以保護安全，DoS攻擊等威脅無法從應用程序中設計從而能夠驅動開發(fā)更安全的應用程序，