“防护左移”赋能开发人员,实时修复代码安全问题
由于非法攻击识别难度大、传输协议多元化、实际应用场景多样化、供应链安全威胁严峻、传统防御措施效果差等痛点型安全防护新问题层出不穷。
针对现代应用需求应运而生的“安全防护左移”,对应安全战略模式的转变 —— 从“传统基于便捷防护的安全”向“面向应用现代化的内生安全”。
前言
越早地将安全性引入到工作流中个,就能越早地识别和补救安全弱点和漏洞 ——这一概念属于“左移”范畴。
将安全测试转移给开发人员,帮助他们几乎实时地修复代码中的安全问题,而不是像在传统开发环境中需要等到SDLC结束,以避免过时的安全措施拖累整个流程。
通过 DevSecOps,将安全性无缝集成到其现有的持续集成和持续交付 ( CI/CD )实践中,涵盖了从规划和设计到编码、构建、测试和发布的整个 SDLC,提供实时连续的反馈循环和指导,赋能开发人员,提前规避大规模的安全漏洞,提升效率和时间成本。
修复行业安全问题
大部分行业的组织或团队,都可以实施DevSecOps,打破开发、安全和运维之间的接线,更高效发布安全的软件:
- 汽车行业
在满足 MISRA 和 AUTOSAR 等软件合规标准的同时,可以缩短较长的开发周期。
- 医疗保健行业
根据 HIPAA 等法规,在保证敏感患者资料的隐私和安全的同时,可以完全实现数字化转型。
- 金融、零售和电子商务行业
帮助修复 OWASP Top 10 Web 应用安全风险,并保持数据隐私和安全符合PCI DSS,针对消费者、零售商、金融业务等实体之间交易的支付卡标准。
- 嵌入式、联网、专用、消费类和 IoT 设备
编写安全代码,可以尽量减少 CWE Top 25 最危险软件错误的发生。
CWE
Common Weakness Enumeration
由美国国土安全局下的US-CERT(美国计算机应急管理中心)资助,是全世界最具知名度和权威性的软件安全漏洞模式库。
世界知名安全软件产品均在此组织进行认证,以表明该工具能够支持CWE所描述的主要缺陷模式的检测和分析。
需要哪些应用安全工具来实施 DevSecOps ?
在DevSecOps的建设中,想要大幅度降低安全风险,核心是构建和利用好应用安全工具(AST)进行自动化漏洞发掘,确保执行缺陷检测的时机准确、及时,并且不会影响研发效率。
以下是目前市场上一些常用的 AST 工具:
- 静态安全测试 (SAST)
- 动态分析测试 (DAST)
- 交互式应用安全测试 (IAST)
- 软件成分分析 (SCA)
SAST
SAST (Static AST) ,工具扫描专有代码或自定义代码,查找编码错误和设计缺陷,避免产生可利用的弱点。SAST 工具主要用于 SDLC 的编码、构建和开发阶段。在国外,Coverity、Synopsys 等厂商均提供这样的测试工具;国内,啄木鸟、绿盟科技、泛联新安等均有此类工具,如:新一代的软件源代码缺陷分析的平台 —— CodeSense。
DAST
DAST:Dynamic AST 是一种自动黑盒测试技术,它模仿黑客与Web 应用或 API 交互的方式,通过网络连接和检查应用的客户端渲染来测试应用,就像渗透测试工具一样。
DAST 工具不需要访问源代码或自定义来扫描堆栈。它们与网站交互,以较低的误报率来发现漏洞。例如,Synopsys Web Scanner DAST 工具可识别 Web 应用和 API 上的漏洞,包括移动后端服务器、IoT 设备和任何 RESTful 或 GraphQL API 等 Web 连接设备。
IAST
IAST(Interactive AST )工具在手动或自动功能测试期间在后台工作,分析 Web 应用的运行时行为。例如,Seeker IAST 工具使用插装来观察应用请求/响应交互、行为和数据流。可以检测运行时漏洞并自动重现和测试结果,为开发人员提供详细洞见,内容具体到发生漏洞的代码行。这可让开发人员将时间和精力集中在解决关键漏洞上。
SCA
SCA:软件成分分析,以应用中依赖的开源组件为检测主体,结合外部三方漏洞库对组件进行风险排查。同时围绕SDL的生命周期,从应用的开发前 - 开发中 - 上线前 - 上线后进行风险的感知、识别和处理。
开发流程的安全管控、黑白盒测试等安全“左移”方案在逐渐使应用程序变得健壮,帮助开发人员实时修复代码问题,但经验证明,无论上线前的测试如何充分,随着时间的推移或多或少会因技术演进展现脆弱性。
应用程序的生命周期不会随漏洞的出现而终止,而应用程序在运行时也需要更细粒度的安全防护,安全是一个在持续着的过程。
“防护左移”赋能开发人员,实时修复代码安全问题相关推荐
- dw上的php代码如何预览在浏览器_13个面向开发人员的JavaScript代码编辑器和IDE
根据知乎的说法,JavaScript(JS)是一种解释性的计算机编程语言.它最初是作为Web浏览器的一部分实现的,这样客户端脚本就可以与用户交互.控制浏览器.异步通信以及更改显示的文档内容. 在本文中 ...
- 百万年薪独家专访,开发人员不修复bug怎么办?
在测试过程中,难免遇到开发人员因为一些原因不想修复个别bug的情况.遇到时,测试人员该如何去推进他们修复bug呢? 一.情况分析 1.开发人员为什么不愿意修复bug? 1)开发人员与测试人员对bug的 ...
- 18款适用于开发人员的网页代码编辑器
本文介绍18款极具价值的网页代码编辑器. 1.Codeanywhere Codeanywhere是运行在浏览器上的代码编辑器,内嵌一个强大的FTP客户端.目前支持多数流行的网页格式(HTML.PHP. ...
- Web开发人员有用的代码比较工具
许多不同的语言的开发人员都有着同样的头疼问题.测试不同版本的源代码之间差异,在整个开发的职业生涯将是一个恼人的问题,但很少考虑的问题是在编写和编辑从相同的源的两个或多个子版本本的合并时如何来更快的发现 ...
- 免费开源低代码拖拽开发_资料来源:面向开源开发人员的免费代码搜索工具
免费开源低代码拖拽开发 开源代码的金矿可供程序员使用,但是选择正确的库并了解如何使用它可能很棘手. Sourcegraph创建了一个搜索引擎和代码浏览器,以帮助开发人员找到更好的代码并更快地构建软件. ...
- web前端代码开发工具_Web开发人员的有用代码比较工具
许多不同语言的开发人员都有着共同的成长难题. 冗长的源代码将在开发人员的整个职业生涯中成为一个棘手的问题,但是考虑较少的问题是编译和合并来自同一源的两个或更多副本的编辑. 幸运的是,对于这种情况,有非 ...
- 作为开发人员,无代码开发平台 iVX 你有必要了解一下
近些年来,低代码的发展趋势可谓是蒸蒸日上,毫不夸张的说低代码将是人类社会发展的比必然趋势.为什么这么说呢? 人类的发展史其实就是一个被 "懒" 字驱动的历史,懒得走路所以发明了汽车 ...
- 回顾 12 个面向 Web 开发人员的在线代码编辑器
点击
- 【备忘】IE开发人员工具修复
regsvr32 "C:\Program Files\Internet Explorer\iedvtool.dll"
- 面向开发人员的代码安全指南
面向开发人员的代码安全指南 该指南是腾讯开源的面向开发人员梳理的代码安全指南,旨在梳理API层面的风险点并提供详实可行的安全编码方案.基于DevSecOps理念,我们希望用开发者更易懂的方式阐述安全编 ...
最新文章
- Python中使用PIL快速实现灰度图
- innobackupex参数说明
- 【刘晓燕语法长难句】 并列句
- python的整除运算_Python3基础 ** 幂运算 // 整除运算
- crawler4j源码学习(1):搜狐新闻网新闻标题采集爬虫
- 【第三方软件】利用WIN8系统自带的绘图软件获取图像信息(位置和颜色信息)
- 快排序和堆排序,最小堆、最大堆
- MAE,何凯明-2021
- 数论复习之费马与欧拉
- 手机免流量,还会是天方夜谭吗?
- Android资源管理中的SharedLibrary和Dynamic Reference-------之AssetManager的处理(四)
- mysql url查找_Superl-url:一款开源、强大的关键词URL采集工具
- 小妙招,教你从旅行网上下载各种美图和视频!
- firefox不能正常下载文件
- 新型肺炎疫情蔓延下的游戏行业会更火爆吗?
- 双卡双待手机在使用移动卡的流量上网时为何另外一张联通卡没有信号?
- ucenter与其它应用结合时出现通信失败,ucenter应用原理与调试
- layer打开iframe弹层,传递与接收参数
- ​独家 | 一文读懂贝叶斯优化
- python多线程爬虫案例之爬取麦田