申博在线开户登入
申博在线开户登入|滚动|国内|国际|运营|制造|监管|原创|业务|技术|报告|测试|博客|特约记者
手机|互联网|IT|5G|光通信|LTE|云计算|芯片|电源|虚拟运营商|移动互联网|会展
申博在线开户登入 >> 技术 >> 正文

新櫈娱乐vip棋牌:新思科技:将安全置于DevOps 加快发布优质代码

2021年2月2日 11:26  CCTIME飞象网  作 者:Jonathan Knudsen
本文来源:http://www.so811.com/www_laonanren_com/

申博在线开户登入,不修眉毛、不懂护肤、不化妆、不穿搭、没有个性的女孩子一定会被男生嫌弃吗,不一定,但是一定会被女生嫌弃。儿童高血脂能吃药吗很多人认为血脂异常、冠心病是成人疾病,与儿童健康关系不大。  本文原创,欢迎个人分享转发,媒体转载请联系作者  作者丨鸽子医生air863  我们都知道女性一旦怀孕,就直接升级为“全家保护动物”了。本届峰会以赢在投资资本助力医疗为主题,专注于医疗企业家和医疗投资人关注的行业热点,通过来自全球300余家医疗企业家学员代表和医疗投资人代表以主题演讲、学术交流形式,共同探讨中国医疗健康产业的发展现状及未来发展趋势,为中国医疗健康产业的快速健康发展做出贡献。

他们第一次发脾气的时候,自己也被愤怒主宰,表现出你和他自己都没有体验过的行为失控。一直致力于发掘流行美妆流行单品、始终站在潮流前沿的美妆一族堪称流行的风向标,最近,什么是她们关注的最热关键词呢?如果面对琳琅满目的单品不知如何选择,就来关注这些技术与便利兼顾且备受美妆一族青睐的新概念单品吧!一直致力于发掘流行美妆流行单品、始终站在潮流前沿的美妆一族堪称流行的风向标,最近,什么是她们关注的最热关键词呢?如果面对琳琅满目的单品不知如何选择,就来关注这些技术与便利兼顾且备受美妆一族青睐的新概念单品吧!其中,Hybridmask、底妆棒、中频电流瘦身仪就是最近的热门主人公。即刻点击如下链接,预约雅诗兰黛线下专柜专业修眉服务,将有专业彩妆师为您推荐最合适的眉色和眉型,即日起至12月31日,到店购买防菜鸟眉笔还有惊喜好礼相赠哦!预约地址:”  对于这一次5000多元的停车费,姑娘是没有异议的,她懊恼的是车子被刮坏这件事,“萧山机场停车场的看管能力有问题”。

梦妆桃花遮瑕气垫BB的包装为白色粉盒,十分清新,圆形设计便于携带。露出紧致小腹帮你时髦露肤显瘦。棕糖①作为天然保湿剂,可以延缓水分流失,软化并磨去干燥角质,乳木果油②和霍霍巴籽油为唇部肌肤提供润泽滋养。巴基斯坦北部的浑匝人和墨西哥中部的印第安人,都是原始的素食主义民族,平均寿命极高。

作者:新思科技高级安全策略师Jonathan Knudsen

飞象网讯 现代软件开发具有更多的代码、语言、平台以及部署选项。 DevOps要求自动化最大限度地提高速度。而这些都意味着更多的安全风险。因此,DevSecOps开始受到关注,将安全集成到DevOps管道的每个阶段,统一开发活动、操作支持和安全检查,并协调软件开发生命周期(SDLC)中涉及的团队。自动化之间有助于提升团队之间的协同作用。

新思科技(Synopsys)近期发布的《2020年DevSecOps实践和开源管理报告》显示DevSecOps在全球范围内迅速增长。总计63%的受访者表示他们正在将一些DevSecOps活动融入其软件开发计划中。

那么,如何将安全置于DevOps之中呢?

引入DevSecOps

向DevSecOps过渡极具挑战性。一方面,虽然目前主要是安全小组独立地负责安全,但逐渐开发团队也参与进来,共同负责安全和预算,使安全成为开发流程不可或缺的一部分;另一方面,开发团队正在通过自动化和持续改进流程来优化速度,实践DevOps。

许多团队缺乏全盘计划,忽视了管理风险。团队没有采取审慎的、深思熟虑的方法来提高安全,而是陷入一种僵局。团队试图使一切运行得足够快,以跟上DevOps的步伐,但由于信息量太大,以至于他们不知道从哪里开始才能改善流程。

在不影响速度的情况下为DevOps增加安全

从切实降低风险的角度出发,从整体上解决安全问题的最佳方法是什么?答案是更高效的自动化。开发人员不必在每次更改代码时都运行全面扫描,而是根据上下文使用智能测试,并决定要运行的内容、运行时间以及运行方式。

逐步提升安全

让我们看一下软件开发中安全测试的典型演变。也许从部署静态应用安全测试(SAST)开始。仅分析集成就有许多可能性:

分析每次提交

分析每个推送请求

分析主要版本

选择分析检查器

配置分析检查器

接下来,您决定进一步提升安全性,添加软件组成分析(SCA)。您可以将其单独集成到管道中,但是仍然有很多其它选择:

扫描应用程序

扫描部署容器

选择扫描粒度和其他配置选项

识别通用漏洞披露(CVE)公布有违反政策的组件

识别CVE公布的组件在通用漏洞评分系统(CVSS)的评分

识别操作风险高的组件

识别有一定许可证风险的组件

将扫描结果的总结上传到风险追踪系统

每个不符合要求的组件信息都将发送到风险追踪系统

将策略当作代码

策略很重要。要求所有应用程序开发团队使用静态分析是一种简单但无效的软件安全策略。更有效的策略应该根据需要指定要使用的工具、所需的配置,最重要的是,可以指定在发布应用程序之前所需的结果类型。

阐明策略的好方法是采用机器可读文件的形式,有时将其称为代码(我实际上并没有将其称为代码;它实际上是一个配置文件,可能是JSON或YAML)。

DevSecOps中安全层的关键功能

这里的“策略”描述了应该进行哪些测试、规定需要什么样的结果(或将停止构建或部署)、将什么样的结果发送到常规问题追踪系统、需要进行哪些合规性活动等等。可以有多个策略,每个策略反映不同类型的应用程序和不同类型的风险状况。

根据策略的规定在开发管道中的特定事件上执行相应的测试,但是针对项目的当前状态进行了优化。安全层处理与工具的集成。

与安全层的轻量级集成发生在特定事件(例如合并请求)上。安全层旨在简化集成。

什么时候应该做安全防护呢?在发生代码仓提交或代码仓合并请求之类的事件时,管道会要求安全层执行安全测试。安全层可以发挥一些强大的魔力,我们称之为智能编排(Intelligent Orchestration)。首先,它参考策略来了解哪种安全测试是适合的。根据策略,安全层可以优化测试的执行方式。例如,如果开发人员刚刚对CSS文件进行了更改,那么Intelligent Orchestration会意识到完整的SAST扫描和SCA扫描是不必要的。对于更改特定模块中的几个Java源文件,可以执行增量SAST以优化速度。

那是否合规呢?开发管道可以要求安全层对项目是否合规做出判断。

我们如何处理安全问题?可以按严重性对结果进行分类,通过CWE Top 25或OWASP Top 10进行检查,也可以根据需要进行过滤和排序。您可以将结果整合到Tableau或Power BI之类的分析工具中。您可以制作图表,显示随着团队努力解决安全问题而使得错误(和风险)下降的趋势。

使用安全集成层还可以简化添加新的安全测试工具或替换现有工具的流程。每个新工具都集成到安全层中,但是开发管道和安全层之间的接口保持不变。

为未来做好准备

软件安全是一个蓬勃发展的领域。如果您试图建立DevSecOps策略,那么确定所需的工具和流程可能会面临挑战。有了安全层,您开发过程中的集成就不需要更改。您只需要从安全层集成到新工具,然后调整策略即可。

编 辑:章芳
免责声明:刊载本文目的在于传播更多行业信息,不代表本站对读者构成任何其它建议,请读者仅作参考,更不能作为投资使用依据,请自行核实相关内容。
相关新闻              
 
人物
任正非:星光不问赶路人
精彩专题
专题报道丨2020年世界电信和信息社会日
专题报道丨山至高处人为峰,中国5G信号覆盖珠穆朗玛
专题报道丨助力武汉"战疫",共铸坚强后盾
2019年信息通信产业盘点暨颁奖礼
CCTIME推荐
关于我们 | 广告报价 | 联系我们 | 隐私声明 | 本站地图
CCTIME飞象网 CopyRight © 2007-2021 By 申博在线开户登入 www.so811.com
申博在线开户登入京ICP备08004280号-1  电信与信息服务业务经营许可证080234号 京公网安备110105000771号
公司名称: 北京飞象互动文化传媒有限公司
未经书面许可,禁止转载、摘编、复制、镜像
www.516sun.com 菲律宾申博娱乐城官网 申博亚洲太阳城娱乐直营网 申博游戏登录 申博真人游戏登入 申博娱乐手机版
菲律宾申博直营网 申博存款提款直营网 申博开户现金网直营网 www.3158msc.com 申博电子娱乐 www.288msc.com
www.51tyc.com 菲律宾申博138娱乐网直营 菲律宾申博138娱乐网直营 申博138介绍人直营网 菲律宾申博官方直营网 申博会员注册直营网