来自 安全 2021-10-11 14:07 的文章

ddos高防_白盾云盘_打不死

ddos高防_白盾云盘_打不死

在体育赛事、电影和电视娱乐节目中,我们经常有明星运动员和明星演员。上学的时候,大多数学生在作业、考试和评估上都力求获得A*(STAR)成绩。在同样的背景下,是否有一种方法可以让组织在其软件安全程序方面实现类似的目标?在Checkmarx,我们相信答案是肯定的。那么,一个组织如何实施"星"计划来实现更安全的软件呢?这一切都始于组织从技术和人的角度着手解决其安全计划,如下所示:软件安全之星计划的八个概念从技术角度来看,STAR计划必须涉及以下四个概念:软件测试自动化补救从人类的角度来看,STAR项目必须涉及以下四个概念:利益相关者培训意识报告让我们更深入地了解上面列出的八个概念,这些概念最终演变为软件安全之星计划的八个目标软件所有的应用程序都是用不同的软件编程语言构建的,选择合适的软件语言是最重要的因素之一,因为组织试图在DevOps的所有阶段实现"设计安全"。漏洞不会自行引入软件中。它们是由开发人员在软件开发过程中引入的。由于大多数应用程序漏洞都是通过软件引入的,因此需要软件来发现和帮助修复这些漏洞。组织必须意识到,集成应用程序安全测试(AST)解决方案需要在它们创建的代码中检测软件漏洞。这些AST解决方案必须能够支持软件开发过程中使用的相同编程语言。测试当发布带有漏洞的应用程序时,大多数人会认为应用程序安全性测试没有得到充分执行,测试人员没有考虑某个功能,他们没有得到足够的培训,或者他们不知道自己在做什么。尽管测试人员可能不是开发该应用程序的同一个人,当应用程序发布时出现错误时,常常会出现测试人员的错误。测试应用程序以检测软件漏洞是一项极其重要的功能,必须嵌入到DevOps的整个阶段。组织必须分配足够的时间来执行应用程序安全性测试,并使开发人员能够在各个阶段测试自己的代码。然而,许多组织不知道需要多少时间,对测试的期望是什么,以及在开发过程中谁应该执行测试。作为一个指导原则,硬件防御ddos,分配给测试的时间应该与分配给开发的时间相同,并且开发人员应该能够访问解决方案,使他们能够在开发期间的任何时候启动测试过程。自动化等到DevOps的test/QA阶段才测试软件,通常会导致不必要的延迟,这会耗费时间和金钱。相反,软件应该使用自动化的解决方案进行测试,这些解决方案设计用于在DevOps的代码、签入和构建阶段运行。另外,软件也应该在功能测试期间进行测试,解决方案设计为在代码处于运行状态时运行。在不同的开发环境中,像是连接了不同的自动化系统的CI/CD。通过使用插件将AST活动自动集成到开发人员使用的不同系统中,将帮助他们异步执行强制测试,而不会延迟应用程序交付的速度。自动化和集成是以DevOps的速度开发和发布软件的关键。补救大多数AST解决方案都能够识别软件中的漏洞,但是仅仅显示漏洞的存在并不能为组织提供可度量的价值。相反,他们需要的是强调漏洞在代码中的位置的解决方案。AST解决方案组织需要提供最佳的修复位置,以帮助开发人员和AppSec团队快速有效地修复漏洞,这是保护任何应用程序所需的实际工作。组织选择的AST解决方案将决定漏洞修复所需的工作量和时间,并且它们应该根据修复工作的速度来衡量AST解决方案的价值。利益相关者获得管理团队的认可将决定任何软件安全计划的成功。接受并愿意积极支持和参与一个提高软件组织发布安全性的计划是至关重要的。每个团队成员,包括开发人员、DevOps工程师、研发团队、AppSec团队和顾问等,都必须接受并学会在各个团队之间充分协作,ddos防御主机,以充分实现主要目标,即为其组织交付安全的应用程序。培训对开发人员进行安全编码实践的培训对于减少他们创建的代码中的软件漏洞至关重要。不幸的是,冗长的视频教程、定期且经常进行的广泛的课堂培训以及令人厌烦的在线课程往往是常态,但很少能达到目标。此外,如果一个组织的AppSec团队或顾问无法提供针对特定编程语言的补救建议,则需要额外的语言培训。组织应该建议他们的AppSec团队和顾问每年至少学习两种新的编程语言,并且安全编码教育应该嵌入到开发人员集成开发环境中。当检测到代码中的缺陷时,开发人员和AppSec团队应该能够跳转到一个特定于漏洞的培训模块,cdn防御ddos效果,该模块教他们如何修复特定的漏洞。完全集成到开发人员工作流程中的游戏化培训可提供最佳结果。意识任何软件安全程序最大的失败之一就是缺乏漏洞和安全意识。在整个组织中建立意识的培训必须是持续的,而不是一次性的。虽然开发人员和安全团队有不同的目标,但在为实现同一组目标而工作时,他们可能无法充分理解彼此。建立持续的意识将有助于缩小开发团队和AppSec团队之间的差距,使他们能够从两个角度理解他们所面临的挑战。报告报告和关键绩效指标(KPI)对于了解哪些方面正在改进、哪些方面还需要进一步改进以及哪些方面没有达到目标是必要的。没有报告和KPI,没有人能够量化软件安全程序是否有效。组织需要一个软件安全平台来跟踪漏洞并提供对开发人员进行修复的洞察。此外,拥有一个AppSec团队来监视应用程序的缺陷密度度量并将这些信息映射到kpi是非常有帮助的。一旦报告和KPI到位,软件安全计划的结果应报告给管理团队,突出合作的积极范围和任何改进的领域。结论如果组织希望构建更安全的应用程序并将其应用程序的信任度提高到最高级别,那么遵循本文中的建议将其软件安全程序提升到我们所称的"星"级。几乎每个人都想成为明星!应用程序安全警告应用程序安全程序应用程序安全培训应用程序安全漏洞自动化安全测试生物最新帖子孔杰森Jason是Checkmarx的技术客户经理,他直接与客户合作,指导内部和外部开发团队之间的协作,ddos攻击检测及防御研究,以及客户组织内部由审计和合规性驱动的安全团队之间的协作,在实施和采用阶段提供专业指导并分享最佳实践。他带来了在应用程序安全咨询服务方面的丰富经验和对安全软件分析的强烈关注。Jason对不同的软件测试方法很感兴趣,并通过了多项IT安全认证,百度的ddos防御量,如CISSP、CSSLP和CISA。Jason Khoo的最新帖子