来自 数据 2021-06-10 18:13 的文章

海外高防_网站防cc_怎么防

海外高防_网站防cc_怎么防

ImmuniWeb>安全性BlogDevOps+Security=DevSecOps?并非总是2.9k 27 4 6 2 2 6 12 9,星期四,2018年10月11日星期四,阅读时间:5分钟。DevOps是web应用程序开发中日益增长和有用的范例,但它未能解决困扰当今市场的安全问题。然而,DevOps的原则可以很容易地集成更有效的安全性,cc高防cdn,为DevOps成为DevSecOps铺平了道路。简单地定义DevOps和DevSecOps DevOps是一种集成开发和操作的文化。在普通工作环境中,"开发"是负责构思、设计和编码产品的部门,而"运营"则负责生产、分销和服务维护。在大多数情况下,这些部门是独立的,防御cc节点,运营通常只依赖于开发部门提供的有关产品使用和运行建议的文档。开发也受到了瓶颈,因为需要等待任何挂起的代码或特性进入生产,然后才能开始开发新特性。有了面向DevOps的团队,这两个部门将更直接地参与产品部署的每个阶段。DevOps的关键概念是"自动化"和"持续监控"。在可能的情况下,DevOps环境可以找到在生产周期中尽可能自动化的方法,同时创建一个用于监视和记录对产品或工作流的任何更改的基础结构。DevOps的关键概念是"自动化"和"持续监控",DevSecOps通过将安全性集成到工作流中,为这种协作文化增添了新的内容。DevOps继承了对自动化和持续监控的重视,代码不仅自动测试功能,还测试了安全性。在生产周期的每个阶段都会使用分析来检查错误或潜在的漏洞,并且产品或实现的任何更改都是在安全的情况下进行的。DevSps允许在生产周期的任何阶段都具有灵活性和响应能力;DevSecOps将强大的、自适应的安全性集成到实现DevSecOps的过程中—DevSecOps的概念可以进行一定程度的解释。没有公认的标准或仲裁来定义DevSecOps环境的确切性质。将开发、操作和安全性整体集成是总结概念的一个好方法,但是如何从一个想法到实际实践中实现这一点呢?Gartner建议采取以下步骤,以建立一个全面的DevSecOps文化,以培养安全设计和实施的产品:没有公认的标准或仲裁来定义DevSecOps环境的确切性质-重组设计和开发过程以集成安全性。DevOps专注于自动化,允许以高效和可伸缩性的方式部署任何新代码或特性;这些相同的原则应该应用于安全特性。还应实施策略,使安全性成为产品设计的核心部分,直至概念级。回顾产品部署和维护实践,将安全性集成到流程中。正如DevOps自动化帮助创建和开发阶段一样,它也适用于服务维护和代码的实际改编。安全意识应该被集成到这个过程中,并且有一个合适的基础设施,以便在发现任何缺陷时响应地发布安全补丁。将访问控制集成到所有产品中,cc防御是什么,包括内部和外部。应该制定适当的策略来确保团队成员只能访问他们需要的特性和基础设施。此外,应该有安全措施来监视异常登录活动,例如不熟悉的IP地址或异常的用户行为。考虑将MFA、CASBs和/或行为生物特征纳入产品及其开发环境中。应制定相应的政策,以确保团队成员只能访问他们需要的功能和基础设施,并采用积极的威胁保护策略。在越来越基于云的业务环境中,安全性再也不能是被动的了。强大的安全策略应该从零信任基线开始,并审查最佳可用基础架构以防止攻击。应用程序的设计应考虑到分段,以尽量减少任何破坏的损害。应用程序的设计应考虑到细分,以最大限度地减少任何破坏的损害,在产品的设计中和在策略级别上加入强大的数据保护。组织应该保持对应用程序处理的所有用户数据的可见性。静止或传输中的数据需要适当的加密。团队应该持续监控应用程序存储或使用的数据,并为安全存储和销毁未使用的数据建立一个框架。处理同等重要的安全事件和一般服务事件。组织经常在数小时内对产品中的服务中断做出响应,而已知的安全漏洞可能会持续数周而得不到解决。DevSecOps团队不应区分代码相关事件和安全相关事件;两者都应视为对产品完整性至关重要的事件。为什么呢?任何规模的组织都需要意识到安全形势的变化,特别是随着基于云的产品的增长和对服务提供商的日益重视。我们已经对一些web应用程序进行了100%的检查,报告指出这些应用程序存在漏洞。这可以说是由于大多数组织中的生产层次结构造成的。充其量,开发和运营是第一位的,安全性是在事后添加的。最坏的情况是,特性和产品首先被考虑,全球DDoS防御,实现和发布只在完成时考虑,安全性则是事后考虑的。正如High Tech Bridge首席执行官伊利亚·科洛琴科(Ilia Kolochenko)所解释的那样:100%的web应用程序在某种程度上都是脆弱的,"当今许多公司最大的应用程序安全问题之一就是缺乏应用程序安全策略。DevSecOps即使不是不存在,也是新生事物。大多数公司甚至没有一个完整的应用程序清单,更不用说评估和归因于风险或法规遵从性要求。他们断断续续地尝试漏洞扫描器、RASP、IAST、ngwafs和bug悬赏,几乎到处都失败,然后责怪供应商和安全分析师。大多数公司甚至没有一个完整的应用程序清单,更不用说评估和归因于风险或合规要求。然而,据Forrester称,在2017年第一季度,90%的企业要么已经实施了DevOps,要么正计划在12个月内实施。这意味着实现DevSecOps的障碍比以往任何时候都要低,在大多数情况下,集成的、自动化的工作流已经到位。90%的组织在2018年第1季度实施或预计将实施DevOps。DevSecOps的概念自然与"设计安全"(或按设计安全)的原则相交叉。作为软件开发中的一个原则,SBD简单地说是指已经创建的产品,安全性是设计的一个组成部分。SBD包括安全数据管理、访问控制和最小化损害。OWASP提供了设计安全原则的指导方针。OWASP提供了设计安全原则的指导方针,在当今比以往任何时候都更严格的安全法规下,任何有效的DevSecOps实现都必须在设计安全的前提下创建其产品和服务。GDPR的第25条规定,任何数据控制者必须实施技术和组织措施来保护用户的数据,并确保只处理或存储必要的和相关的个人数据。HTB的服务是可以整合的一个潜在的障碍,实施DevSecOps是它的可行性。DevSecOps环境需要在产品生命周期的每一步都投入时间和资源用于安全性。这可能是昂贵的,DDoS防御市场规模,但解决方案决不能在任何时候减少对安全性的重视,这将破坏DevSecOps的目的,并损害整个过程。实现DevSecOps的潜在障碍是其基于云的安全服务可以提供解决方案的可行性,但并不是所有服务都能很好地与DevSecOps环境集成在一起——在开发或交付过程中的每一次更改都需要重复一次特殊的漏洞扫描服务,很快就会过时或者很贵。相比之下,High Tech Bridge的ImmuniWeb®AI平台提供持续、智能的应用程序安全监控和即时漏洞检测。它具有对内部和外部web应用程序的全面可见性,使它成为一个功能强大的工具,可以轻松地集成到DevSecOps工作流中。函数getSelectionHtml(){var html="";if(typeof窗口.getSelection!="未定义"){var sel=窗口.getSelection();如果(选择范围计数){var容器=文档.createElement("div");对于(var i=0,len=选择范围计数;i