應(yīng)用安全左移-使用正確的安全工具彌合DevOps 與安全之間的鴻溝-DevOps社區(qū)

應(yīng)用安全左移應(yīng)用安全左移998-9938或corporate@ore第一版的修訂歷史已盡力確保本作品中包含的信息和說明準(zhǔn)確無誤，但出版商和作者許可證或他人知識(shí)產(chǎn)權(quán)的約束，則您有責(zé)任確保您對(duì)其的使用符合此類將安全左移意味著從流水線的最早階段就引入工具和流程來在報(bào)告結(jié)束時(shí)，你將能夠向你的組織提出一些應(yīng)用程序安全建之間和諧的關(guān)系和一組共享的安全優(yōu)先級(jí)，任何組織都可介紹程序的悠久歷史的工具似乎已經(jīng)過時(shí)，被貼上“遺留”工具的標(biāo)簽用程序防火墻(WAF)這類工具提供了運(yùn)行時(shí)保護(hù)和有關(guān)應(yīng)用已經(jīng)適應(yīng)了現(xiàn)代基礎(chǔ)設(shè)施和應(yīng)用程序，隨著威脅行為者開發(fā)出有意識(shí)的文化轉(zhuǎn)變，使安全成為每個(gè)人的責(zé)任，從設(shè)計(jì)到生產(chǎn)的整個(gè)過程都這一轉(zhuǎn)變的驅(qū)動(dòng)力是經(jīng)由利用來自運(yùn)行時(shí)工具從根深蒂固的流程到預(yù)算，再到內(nèi)部政治，許多因素都可能致使如將左移策略引入持續(xù)集成和持續(xù)部署(CI/CD)軟件流水線的一些策第1章DevOps和DevSecOps的壓力，敏捷開發(fā)方法將大型任務(wù)分解為若干更小的單元，從構(gòu)將從單體模型轉(zhuǎn)向微服務(wù)，這使得分散的團(tuán)隊(duì)可以在不同的的，這也是DevOps發(fā)揮作用的所在之處。DevOpsDevOps是一種概念，是涵蓋了多項(xiàng)目標(biāo)的一系列實(shí)踐。DevOps將開發(fā)和運(yùn)營結(jié)了負(fù)責(zé)其中不同任務(wù)團(tuán)隊(duì)之間的界限，使他們能夠建立應(yīng)用程序和功持續(xù)集成意味著在開發(fā)后盡快將代碼變更合并到共享的主代碼開發(fā)流水線的早期階段，測試和反饋循環(huán)變得更快這種安全方法在傳統(tǒng)的單體軟件開發(fā)過程中并不十分有DevSecOps有的速度和敏捷性。正如DevOps賦予更多開發(fā)人員測試自己代碼的職責(zé)一樣，DevSecOps將安全實(shí)踐構(gòu)建到應(yīng)用程序開發(fā)生命周期的每個(gè)階段，并在每個(gè)步驟最佳實(shí)踐，并指導(dǎo)每個(gè)人接納安全思維方式不同的團(tuán)隊(duì)開始將自己視為單一文化的一部分，并DevOps和DevSecOps如何改變團(tuán)隊(duì)軟件開發(fā)過程帶來靈活性和透明度，DevSecOps便轉(zhuǎn)向于可在被安全流程阻斷其工作，安全團(tuán)隊(duì)也將發(fā)現(xiàn)自己不再需要重復(fù)解決相同采納DevSecOps的挑戰(zhàn)采納DevSecOps實(shí)踐具有非常明顯的優(yōu)勢，但這并不意味著其中的每一步都很容易，從保護(hù)分布式應(yīng)用程序的日常機(jī)制到重大的理念變革，DevSecOps都會(huì)為團(tuán)隊(duì)傳統(tǒng)意義來說，安全性側(cè)重于易于理解的應(yīng)用程序邊界，通跨多個(gè)網(wǎng)域進(jìn)行通信，并且處理來自全球的設(shè)備和用戶數(shù)據(jù)，這就使得的攻擊面又大又難定義，幾乎不可能盤點(diǎn)這些服務(wù)之間的所有交互或者發(fā)實(shí)踐經(jīng)驗(yàn)，而且還需要足夠的知識(shí)來理解他們負(fù)責(zé)解決的少的費(fèi)用更早的得到解決，并且也為參與軟件開發(fā)過第2章安全左移DevSecOps：安全左移傳統(tǒng)上，安全和其他測試放在軟件開發(fā)過程的最后階段安全左移需要在整個(gè)軟件供應(yīng)鏈中采取強(qiáng)有力的應(yīng)用缺陷解決方案，并減輕運(yùn)營團(tuán)隊(duì)的應(yīng)用程Research和Assessment團(tuán)隊(duì)（DORA）制作的《加速DevOps狀態(tài)狀態(tài)報(bào)告安全左移的挑戰(zhàn)在一些組織中，不同的團(tuán)隊(duì)在如何自我組織和工作方面有很大熟，他們傾向于與組織范圍內(nèi)的最佳實(shí)踐保持一致，但當(dāng)左移時(shí)，如果公司文化對(duì)于問責(zé)過于正式，那么安全團(tuán)隊(duì)之外的人員可能很難在SDLC早上緩解，但對(duì)于參與應(yīng)用程序開發(fā)和運(yùn)維的每個(gè)人額外的責(zé)任負(fù)擔(dān)，并且是安全人員與組織中其他人作。敏捷方法和DevOps提高了軟件開發(fā)和部署的速度，要求公司在不犧牲可靠性和從而破壞了安全團(tuán)隊(duì)試圖與開發(fā)和運(yùn)維團(tuán)隊(duì)建立為什么左移很重要客戶與服務(wù)或應(yīng)用程序的每次交互都代表著公司與客戶之型組織中，存在大量潛在的漏洞，其中任何一個(gè)漏洞雖然正在開發(fā)的應(yīng)用程序和服務(wù)是最重要的安全目它們就可能會(huì)在整個(gè)軟件流水線中一直傳播到構(gòu)建和部署階段，變革策略將安全左移的好處是顯而易見的：與在瀑布式開發(fā)過程只有讓每個(gè)人都成為利益相關(guān)者，您的組織才能完開發(fā)人員必須負(fù)責(zé)評(píng)估和管理這些風(fēng)險(xiǎn)，并繼續(xù)積累們對(duì)可能發(fā)生的攻擊的廣泛知識(shí)，幫助開發(fā)人員更必須與開發(fā)團(tuán)隊(duì)共享這些信息，從而幫助每個(gè)人的第3章應(yīng)用安全安全領(lǐng)域正在如何變化基礎(chǔ)設(shè)施即代碼，必須使用聲明性策略來維護(hù)所需的安全威脅于靜態(tài)規(guī)則的安全性無法跟上攻擊策略的變化以及應(yīng)過程中使用過時(shí)或易受攻擊的包作為依賴項(xiàng)以及不安全的設(shè)計(jì)都可能DevSecOps方法安全左移有助于通過使安全成為工作流程中查看可用的端口和組件，要傳輸或暴露的信息以及如何在傳輸和靜態(tài)人類的專業(yè)知識(shí)是無可替代的，但自動(dòng)代碼掃描和安全測試工具盡管SAST和DAST有助于保護(hù)應(yīng)通過以聲明方式管理策略，直接從API模式獲取策略，第4章場景：文化轉(zhuǎn)變層明白這種方法無法擴(kuò)展，但轉(zhuǎn)向DevS最后一點(diǎn)很關(guān)鍵：無論開發(fā)過程中的漏洞檢測有多好，你WAF這樣的工具可以在整個(gè)過程中插入，提供最后一道防線和強(qiáng)大的反饋源，具可以幫助驗(yàn)證應(yīng)用程序的性能是否符合設(shè)計(jì)要求，從實(shí)例：歐洲某大型銀行實(shí)例：澳大利亞某銀行很大的控制權(quán)，而云上則不同，它可以讓開發(fā)團(tuán)隊(duì)在安全團(tuán)隊(duì)不知在向云遷移的推動(dòng)下，安全團(tuán)隊(duì)在應(yīng)用程序運(yùn)行環(huán)境中管理WA在許多企業(yè)中，應(yīng)用程序開發(fā)人員與其他團(tuán)隊(duì)之間的分歧是文全是事后才考慮的問題，一個(gè)知識(shí)淵博的支持者可以幫助工程師理解，在結(jié)論建安全性很重要，但更需要整體方法：像威脅行為者一樣互連系統(tǒng)和服務(wù)之間通信的復(fù)雜性使得應(yīng)用層既難以保護(hù)安全，DoS攻擊等威脅無法從應(yīng)用程序中設(shè)計(jì)從而能夠驅(qū)動(dòng)開發(fā)更安全的應(yīng)用程序，