最新公告
  • 欢迎您光临站壳网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 聚焦RSAC2020热点话题:应用安全与DevSecOps

    正文概述 webmaster   2020-02-26   337

    2020年RSA大会于2月24日至28日在旧金山召开。大会主题为“Human Element”。去年作为RSA大会DevSecOps日的转折点,约有超过800名从业人员参加了为期一天的专题活动。今年,重点则放在从业者如何在组织内部调整并向DevSecOps转型,详细解析了组织所面临阻碍其进步的问题类型,以及如何从公司的各个层面上获得支持帮助等内容展开讨论。

    此前,嘶吼在分析参展厂商时发现有绝大多数企业聚焦DevSecOps这一话题,它作为一种为应用程序开发的生命周期引入安全性的设计考虑,最大程度地减少漏洞并使安全性更贴近IT实景和业务目标。就在当地时间2月24日结束的RSAC2020创新沙盒大赛上,十家初创公司中有半数企业聚焦应用安全,可以见得DevSecOps落地已成为大势所趋。

    笔者认为 DevSecOps的前提是软件开发生命周期中的每个人都应对安全负责,也就是实质上将操作、开发与安全功能相结合。即安全性嵌入到开发流程中来,它并非将安全性最终固定于IT系统之中,而是通过在DevOps工作流程中嵌入安全控制流程进行安全管理的核心任务。

    DevSecOps重要性体现在?

    IT基础架构的巨大变化:向动态配置、共享资源和云计算的转变已推动了IT系统演进速度、敏捷性和成本收益等方面,这些都有助于改善应用程序的开发。

    在云中部署应用程序的能力提高了规模和速度,向DevOps方法论的迁移和持续交付使得“大爆炸式”应用程序成为过去。尤其,DevOps一直以来将开发和IT运营集成在“单一自动化保护伞下”的原则对所有事情都有所帮助,从更频繁的功能发布调整到增强的应用程序稳定性中来。但是,许多安全性和合规性监视工具无法跟上这种变化的步伐,因为它们并不是为开发代码而开发的,它们无法以DevOps要求的速度进行测试。也就出现了以下观点:安全性是快速开发应用程序以及IT创新性最大障碍。

    而人们为了破除这一阻碍,令安全性和IT系统架构更加巧妙的结合,推出了DevSecOps的方法论,改进由安全性带来的矛盾和阻碍。

    DevSecOps的时代已然来临

    DevSecOps优势:简而言之,它能够缩短实现更高标准的自动化时间长度,进而减少因决策失误带来的风险和一般情况下操作错误导致系统宕机或遭受不同程度攻击等问题。当然,这种自动化还一定程度上减少了安全人员手动配置平台的操作。

    随着企业从DevOps逐渐过渡到DevSecOps,我们发现安全性和开发人员领域的出现重叠。在RSAC2020大会上,不论从达美航空公司的“Delta的DevOps转型”的演讲,还是英特尔公司的“开发人员的安全策略和法规趋势”的演讲中,均发现许多会议更多面向的是组织内部如何处理DevSecOps转型,他们面临的困扰、问题,进一步提升并将安全性更好的纳入开发流程的最佳实践中来。

    RSAC2020 创新沙盒上应用安全与DevSecOps公司概览:

    ·BluBracket

    关键词:代码安全

    聚焦RSAC2020热点话题:应用安全与DevSecOps

    公司成立于2019年,BluBracket于上周宣布获得650万美元的投资。其主营代码安全解决方案,第一款产品是BluBracket CodeInsight,它是一种审核工具,目前已发布使用,该工具使公司可以全面了解谁从Git库中撤回了代码;第二个工具BluBracket CodeSecure需到2020年下半年才能使用,它保护代码安全性,囊括了按照分级对代码分类的安全能力,最高级别的代码将具有特殊地位,组织内部可以为其附加规则,如:未经允许不能将其分发到开源文件夹中等。

    ·ForAllSecure

    关键词:下一代代码测试(模糊测试)解决方案

    聚焦RSAC2020热点话题:应用安全与DevSecOps

    成立于2012年,2016年在DARPA网络大挑战赛中获得第一名;2017年入选《麻省理工科技评论》的50家智慧公司;去年ForAllSecure在New Enterprise Associates的领导下筹集了1500万美元的A轮融资。旗下技术平台Mayhem的下一代模糊测试安全方案,旨在做到“自动识别和修复软件中的安全漏洞”,对当前的威胁作出足够迅速的反应,而模糊测试的本身就是降低测试门槛,有效为组织建立起信任。

    ForAllSecure的首席执行官David Brumley博士称“如果组织内安全人员不了解编码基础,要改进的不是令其成为开发人员,而是确保他们明悉软件和计算机是如何深入工作的,进一步提高安全技能。”

    ·Sqreen

    关键词:RASP、WAF

    聚焦RSAC2020热点话题:应用安全与DevSecOps

    Sqreen此前已经完成了1400万美元的A轮融资,该公司旨在提高Web应用程序和云基础架构的安全性。它的宗旨是不需要组织更改代码或防火墙设置,通过在服务器上安装一个软件包,并添加几行代码以在应用程序中执行调用所需Sqreen模块,更为轻量级的输出安全服务。它的应用程序安全平台可帮助组织保护应用程序,增加可见性,并通过查找关键威胁,修复漏洞将安全性集成到SDLC中来保护代码。其提供了低成本、高水平的RASP+in App WAF解决方案,为实现快速部署、高可扩展性、降低延迟提供了促进作用。

    ·Tala Security

    关键词:WAF

    聚焦RSAC2020热点话题:应用安全与DevSecOps

    现代化的Web体系结构极大地加快了网站和应用层攻击的速度,例如Magecart、XSS、重定向攻击和基于Web的恶意软件等。Tala Security的主打产品WAF,通过基于AI引擎进行实时分析,解决攻击目标为依赖JavaScript和第三方特权访问等威胁,其平台可抵御最广泛的客户端攻击,并对组织系统的性能影响为零。

    ·Vulcan Cyber

    关键词:SOAR

    聚焦RSAC2020热点话题:应用安全与DevSecOps

    Vulcan Cyber已于去年9月完成1000万美元A轮融资,截止目前总计融资1400万美元。该公司旨在通过自动化修补程序完成对于漏洞的修复操作。其平台将优先级和部署流程自动化,以更快地修复更多漏洞,有效较低业务运营风险和成本。

    Vulcan Cyber可以很好地与所有主要的云平台以及Puppet、Chef和Ansible等工具和GitHub、Bitbucket等工具结合使用,还集成了众多主要的安全测试工具和漏洞扫描程序,其中包括Black Duck、Nessus、Fortify、Tripwire、Checkmarx、Rapid7和Veracode。

    总结

    尽管CI / CD在不断发展以满足包括容器编排在内的越来越多的软件开发需求,但应用程序中的许多默认设置都需要进行额外的强化以确保安全性。由此,将安全性集成到开发过程中成为必然趋势。组织选择使用更好的DevSecOps工具,确保从构建、部署、程序运行的整个生命安全周期中纳入安全性。随后,可以通过创建良好的DevSecOps文化氛围,搭建位于安全团队和运营团队之间的桥梁,保障开发团队在开发过程中也可以及时确认安全性,该步骤可以通过自动化检测与响应推进。还需要注重的一点是,组织不仅应将DevSecOps纳入IT架构规划中,还应尽可能的从不同角度进行安全测试,以确保正在运行的组织平台的安全性。

    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » 聚焦RSAC2020热点话题:应用安全与DevSecOps

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    售后服务:

    • 售后服务范围 1、商业模板使用范围内问题免费咨询
      2、源码安装、模板安装(一般 ¥50-300)服务答疑仅限SVIP用户
      3、单价超过200元的模板免费一次安装,需提供服务器信息。
      付费增值服务 1、提供dedecms模板、WordPress主题、discuz模板优化等服务请详询在线客服
      2、承接 WordPress、DedeCMS、Discuz 等系统建站、仿站、开发、定制等服务
      3、服务器环境配置(一般 ¥50-300)
      4、网站中毒处理(需额外付费,500元/次/质保三个月)
      售后服务时间 周一至周日(法定节假日除外) 9:00-23:00
      免责声明 本站所提供的模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: 80027422@qq.com),我们会及时删除,给您带来的不便,我们深表歉意!

    Hi, 如果你对这款模板有疑问,可以跟我联系哦!

    联系作者

    发表评论

    售后服务:

    • 售后服务范围 1、商业模板使用范围内问题免费咨询
      2、源码安装、模板安装(一般 ¥50-300)服务答疑仅限SVIP用户
      3、单价超过200元的模板免费一次安装,需提供服务器信息。
      付费增值服务 1、提供dedecms模板、WordPress主题、discuz模板优化等服务请详询在线客服
      2、承接 WordPress、DedeCMS、Discuz 等系统建站、仿站、开发、定制等服务
      3、服务器环境配置(一般 ¥50-300)
      4、网站中毒处理(需额外付费,500元/次/质保三个月)
      售后服务时间 周一至周日(法定节假日除外) 9:00-23:00
      免责声明 本站所提供的模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: 80027422@qq.com),我们会及时删除,给您带来的不便,我们深表歉意!

    Hi, 如果你对这款模板有疑问,可以跟我联系哦!

    联系作者
    • 590会员总数(位)
    • 4864资源总数(个)
    • 185本周发布(个)
    • 27 今日发布(个)
    • 181稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情