DevSecOps
构建DevSecOps软件开发安全体系
构建DevSecOps体系最核心的技术是安全工具链的建设,如代码审计工具(SAST)、交互式应用安全检测工具(IAST)、动态测试工具(DAST)等。这类工具针对开发软件代码或者软件制品进行自动化测试,发现软件漏洞的核心技术。同时,还有软件成分分析工具(SCA),可以从开源组件安全及开源许可的角度对 ......
SDL与DevSecOps
SDL 帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程 SDL的核心理念就是将安全考虑集成在软件开发的每一个阶段:需求分析、设计、编码、测试和维护。从需求、设计到发布产品的每个阶段每都增加了相应的安全活动,以减少软件开发过程中产生的漏洞数量,在上线前将安全风险降到最低 ......
DevSecOps 中的漏洞管理(下)
建立漏洞管理程序以支持DevSecOps 在讨论DevSecOps及DevOps模型中包含安全性的重要性时,建立有效的漏洞管理实践是非常重要的。这可以通过将漏洞管理设置为程序来实现。 我们可以开始对IT组织进行漏洞管理评估。人们经常问的问题可能是,既然已经建立了一些补救机制,为什么还需要进行评估。但 ......
DevSecOps之应用安全测试工具及选型
> 上篇文章,有同学私信想了解有哪些DevSecOps工具,这里整理出来,供大家参考(PS: 非专业安全人士,仅从DevOps建设角度,给出自己见解) 软件中的漏洞和弱点很常见:84%的软件漏洞都是利用应用层的漏洞。软件相关问题的普遍性是使用应用安全测试(AST)工具的主要动机。通过使用AST工具, ......
DevSecOps 中的漏洞管理(上)
DevSecOps意味着在DevOps交付管道把安全性包含进去。该模型尽可能早地将安全原则集成到软件开发生命周期的所有适用阶段中。下图展示了安全方面在DevOps后期阶段的集成,但DevSecOps安全性集成到生命周期的所有阶段。 IT安全领导者应该在他们的组织中采用有效的漏洞管理实践来实施适当的D ......
快速了解DevSecOps:构建安全软件开发的基石!
## 关键词 - DevSecOps — 在不影响敏捷性的前提下,将安全充分融入到SDLC的所有环节中 - SDLC—软件交付生命周期 - SCA—软件组成分析-用于识别和检测软件中使用的开源/第三方组件的已知安全漏洞 - SAST—静态分析安全测试 - DAS—动态分析安全测试 - IAST—交互 ......
西门子成都工厂的DevSecOps实践
4月15日,成都.NET线下技术沙龙活动中,我分享了一个主题《西门子成都工厂的DevSecOps实践》,向大家介绍了我们为什么要做DevSecOps 以及 我们目前是怎么做DevSecOps的。整个分享从Why-What-How的顺序讲解,希望能对你有所帮助。 ......