成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

什么是SDLC?安全SDLC(SSDLC)如何工作?

2024-04-30    分類: 網(wǎng)站建設(shè)

在過去幾年中,在應用程序平臺和第三方庫中發(fā)現(xiàn)的漏洞越來越引起人們對應用程序安全性的關(guān)注,這給 DevOps 團隊帶來了檢測和解決其軟件開發(fā)生命周期 (SDLC) 漏洞的壓力。

以 NVD(國家漏洞數(shù)據(jù)庫)為例,它跟蹤和記錄軟件供應商發(fā)布和披露的所有重大漏洞。它發(fā)現(xiàn)在過去五年中發(fā)現(xiàn)的漏洞數(shù)量呈增長趨勢, 僅在 2021 年就記錄了驚人的 20,136 個漏洞(與上一年相比增加了 9.7%)。

同時,CISA(網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局)指出,在隨著時間的推移記錄的所有漏洞中,威脅參與者目前正在利用 504。那么這一切對開發(fā)人員意味著什么,我們?nèi)绾尾拍芴岣?SDLC 的安全性呢?讓我們從基礎(chǔ)開始:

什么是 SDLC?

開發(fā)團隊采用一種 SDLC 形式來構(gòu)建他們的流程并始終如一地獲得高質(zhì)量的結(jié)果。從這個意義上說,SDLC 只不過是一個定義構(gòu)建應用程序過程的框架。它跨越了應用程序的整個生命周期,從規(guī)劃到退役。

自傳統(tǒng)瀑布模型以來,出現(xiàn)了不同的 SDLC 模型,其中更健壯的 CI/CD 和敏捷模型在當今流行度最高。但他們的目標往往是相似的:盡可能快地生產(chǎn)出高質(zhì)量、低成本的軟件。

安全 SDLC (SSDLC) 如何工作?

安全軟件開發(fā)生命周期 (SSDLC) 將安全組件引入生命周期,從而為開發(fā)人員提供了一個框架,以 確保安全是軟件開發(fā)每個階段的考慮因素, 而不是事后考慮。這種方法可以防止稍后在生產(chǎn)環(huán)境中出現(xiàn)漏洞,從而降低修復它們的成本。

安全軟件開發(fā)生命周期示例定義了有助于在每個開發(fā)階段保護軟件的最低安全控制。每個階段都需要專門的安全測試工具和方法,并將繼續(xù)貫穿每個軟件版本的所有階段。

提高 SDLC 安全性的最佳實踐

安全 SDLC 實踐旨在解決共享的安全問題,包括:

修復軟件部署后修復成本高昂的反復出現(xiàn)的漏洞 設(shè)計和架構(gòu)中的安全問題 解決集成到更大系統(tǒng)中的組件內(nèi)的安全問題

順便說一句,讓我們看一些提高 SDLC 安全性的最佳實踐:

擁抱心態(tài)轉(zhuǎn)變

左移思維旨在將 傳統(tǒng)上在生命周期后期完成的安全實踐(例如測試組件)帶入開發(fā)的早期階段。換句話說,我們已經(jīng)從 DevOps 發(fā)展到 DevOpsSec,再到 DevSecOps—— 所有這些都是通過將“Sec”移到左邊來實現(xiàn)的。但言行一致需要的遠不止這些。要完全接受左移心態(tài),請嘗試:

在 SDLC 中建立一個擁有跨不同領(lǐng)域的知識淵博的成員的團隊 促進整個組織內(nèi)各個團隊之間的協(xié)作,以更全面地考慮安全性及其對您的業(yè)務(wù)意味著什么 考慮到威脅總是在不斷發(fā)展,您的安全優(yōu)先級和策略也應該不斷改進流程

使用具有常識的威脅建模

威脅建模是一個在 SDLC 可能的最早階段研究系統(tǒng)設(shè)計、它們?nèi)绾芜\行以及數(shù)據(jù)如何在所有系統(tǒng)組件內(nèi)部和之間流動的過程,旨在識別所有可能的利用途徑。進行威脅建??纱_保架構(gòu)設(shè)計和開發(fā)能夠解決所有已識別的安全漏洞。

但是威脅建模通常需要相當長的時間才能完成,因為它需要人工來確定所有可能的攻擊途徑。反過來,當 SDLC 的幾乎每個組件都是自動化的并且期望每個階段都能快速完成時,威脅建??赡軙蔀殚_發(fā)過程的瓶頸,新版本每兩到四周就會發(fā)布一次。因此,建議使用具有常識的威脅建模。雖然列出所有可能的攻擊途徑是件好事,但要提防陷入可能阻礙生產(chǎn)而不是支持和保護生產(chǎn)的兔子洞。

利用開源、開發(fā)人員優(yōu)先的工具

利用開源工具是降低成本同時確保您不會在安全性方面妥協(xié)的最簡單方法。但是,如果開發(fā)人員實際上不想使用便宜的工具,它又有什么用呢?

Teller 是開發(fā)人員的出色生產(chǎn)力秘密經(jīng)理,如果您正在尋找靈感,它支持云原生應用程序和多個云提供商。它可以讓您在編碼、測試和構(gòu)建應用程序時快速、輕松、安全地混合和匹配保管庫和其他密鑰存儲,并使用機密。

另一個值得注意的安全工具箱開源工具是 tfsec:一個靜態(tài)分析代碼掃描器,可以識別 Terraform 代碼模板中的潛在安全問題。

盡早檢查第三方組件造成的漏洞

第三方組件是開發(fā)人員在無需自己開發(fā)整個功能的情況下將附加功能引入其應用程序的快速簡便的選擇。

盡管這些組件可能很便宜,但它們確實是有代價的:它們可能會間接地將漏洞引入應用程序。因此,最好在您的安全評估中盡早檢查這些組件是否存在漏洞,然后再始終如一地檢查這些組件。

換句話說: 掃描一切! 掃描代碼、 配置、二進制文件或代碼庫中的任何其他材料,以發(fā)現(xiàn)明顯可見和隱藏的問題。需要一些幫助嗎? 我們的掃描技術(shù) 與編程語言無關(guān),支持 500 多種不同的堆棧。

掃描所有軟件層的錯誤配置

當今市場上可用的大多數(shù)安全錯誤配置檢測工具往往側(cè)重于掃描軟件基礎(chǔ)設(shè)施中的錯誤配置,但不涵蓋數(shù)據(jù)層和應用程序框架層中存在的錯誤配置。我們的 DeepConfig 解決方案可填補這一空白。它提供端到端的軟件覆蓋,包括基礎(chǔ)設(shè)施、數(shù)據(jù)和應用程序框架層。該工具用于在眾所周知的解決方案中搜索潛在的錯誤配置,例如:

基礎(chǔ)設(shè)施和數(shù)據(jù)層: Elastic、MySQL、Redis、Memcache 等。 應用程序緩存層: Rails、Django 等。

結(jié)論性想法

最終,SDLC 的安全性將取決于 DevOps 團隊可用的性能、動力、技能和工具。讓我們面對現(xiàn)實吧:DevOps 團隊發(fā)現(xiàn)自己處于兩難境地,不得不以越來越快的速度工作,經(jīng)常過度緊張,還必須處理可能會降低性能的安全性 和合規(guī)性 問題。這是一個具有挑戰(zhàn)性的循環(huán)。這就是為什么我們在構(gòu)建安全解決方案時牢記開發(fā)人員的優(yōu)先事項,以幫助他們保持控制并確保他們的組織安全。我們尊重您的 CI,確保平均大小的存儲庫只需幾秒鐘即可掃描 CloudGuard Spectral。 檢查出來。

網(wǎng)站題目:什么是SDLC?安全SDLC(SSDLC)如何工作?
轉(zhuǎn)載注明:http://jinyejixie.com/news9/326909.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供關(guān)鍵詞優(yōu)化、網(wǎng)站設(shè)計公司、網(wǎng)站設(shè)計、網(wǎng)站策劃、電子商務(wù)、定制開發(fā)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

成都網(wǎng)頁設(shè)計公司
凤冈县| 珠海市| 博罗县| 金坛市| 通许县| 大关县| 道真| 时尚| 区。| 哈巴河县| 忻州市| 唐海县| 韩城市| 韩城市| 铅山县| 沧州市| 云安县| 平阳县| 凯里市| 双鸭山市| 额尔古纳市| 和顺县| 尼木县| 兴安县| 密云县| 茂名市| 梓潼县| 阳高县| 兴国县| 仙桃市| 延安市| 长治市| 汽车| 东港市| 安阳县| 梓潼县| 忻城县| 淮阳县| 黔江区| 大新县| 泗洪县|