来自 应用 2021-10-11 19:20 的文章

ddos清洗_防ddos攻击产品_超稳定

ddos清洗_防ddos攻击产品_超稳定

继约瑟夫·费曼(Joseph Feiman)在Veracode博客上发表文章《2017年及以后的应用程序安全预测》之后,ddos防御安全解决方案,我们很高兴地看到,他的大量预测与我们已经看到并将继续采取行动的趋势保持一致,但当涉及到某些预测时,我们的观点明显不同。 Joseph的预测侧重于调整安全测试解决方案,以适应日益主导应用程序开发领域的快节奏开发环境。因此,安全测试解决方案应该使组织能够在SDLC的早期阶段执行分析,cc流量攻击防御,特别是在开发期间,最好是由开发人员执行。 让我们回顾一下Veracode的预测,同时展示Checkmarx的观点是如何和为什么不同的:预测1:Veracode:"到2018年,SAST-as-a-cloud-service的使用将超过SAST-as-a-tool的使用"Checkmarx预测:"到2019年,大多数组织将使用混合交付模式,将产品和托管服务结合起来,加速开发人员的支持。"  切克马克思的角度:尽管如今的企业"以前所未有的速度生产出更多的软件",但Joseph认为,对于缺乏安全专业知识的公司来说,解决方案是将静态应用程序安全测试(SAST)委托给第三方、独立的、基于云的安全专家。 然而,在Checkmarx,我们认为解决方案根本不同。 我们认为,开发人员支持以及应用程序安全专家的指导是解决安全开发中日益严重的技能短缺的正确方法。 研究一个类似的趋势,比如软件质量保证,很明显,在过去的十年里,谷歌这样的公司倾向于将这一责任纳入开发人员的日常任务中,而不是将责任交给第三方,即:把代码扔到篱笆上。 这种转变已经证明,责任导致正念,海外cdn高防,从而带来更好的长期质量。同样的效果也出现在应用程序安全测试领域,因为从长远来看,了解安全性并得到错误快速反馈的开发人员可以编写更好、更安全的代码。 最初,AppSec计划的入职和运营可能会有些困难,组织可能需要在设置过程中获得帮助。因此,这些组织将寻找能够提供混合方法的供应商,该方法涵盖了从完全基于云的解决方案到完全基于预置的解决方案之间的整个范围。 这些供应商将需要提供必要的服务,帮助组织完成向安全SDLC(sSDLC)的过渡,其中包括上下文、按需开发人员支持和专用辅助服务,以确保过渡顺利完成。 这些供应商将必须提供服务,帮助组织将其项目过渡到安全的SDLC,以及在上下文中,及时、开发人员支持和帮助服务,以确保过渡顺利进行。预测2:Veracode:"到2019年,超过30%采用DevOps的企业也将采用专为DevOps设计的SAST"切克马克思的角度:在Checkmarx,我们也看到了这一趋势的形成,并完全同意这一预测。但是,我们要强调SAST解决方案作为CI\CD管道的公民的要求。为了满足DevOps的要求,它必须满足零摩擦、快速周转的政策。 对于SAST解决方案,这些需求转化为增量扫描、部分代码扫描和无编译器功能。这些功能不是产品的附加功能,而是分析引擎设计的基本部分。从DevOps开始,DevOps设计的解决方案很难调整。 在一个相关的话题上,Joseph声称动态应用程序安全测试(DAST)将在重要性上落后于SAST,因为它不能充当CI/CD管道的自然公民。Checkmarx预测:"到2019年,IAST的市场规模将超过DAST。" 然而,我们相信DAST缺陷的解决方案可以通过将交互式应用程序安全测试(IAST)集成到DevOps中来解决。   因此,动态测试市场将演变为两种不同的技术:IAST将取代"DAST作为自动化工具"如果正确地交付,IAST可以克服DAST的大部分缺点,成为被测试应用程序的一个组成部分,它允许它在运行时工作,涵盖更广泛的功能和漏洞,同时作为SDLC测试阶段的一部分。SAST和IAST synergy将进一步利用这两种产品的功能,这将是DevSecOps成功的关键。 "DAST-as-a-service"仍然是笔测试工具"DAST-as-a-service"将主要用于由内部或外包的渗透测试专家提供的渗透测试目的。 由于IAST将取代SDLC中的自动DAST,并且DAST将作为笔测试工具右移,下图说明了不同技术将如何在不同的软件环境中使用: 预测3:Veracode:"到2019年,超过50%的企业将测试部分应用程序的安全漏洞"切克马克思:"同意。"预测4:Veracode:"到2019年,超过三分之一的企业将采用软件供应链保障计划。"Checkmarx:"在Checkmarx,我们相信这是一个非常保守的估计,美国防御CCvps,而且这个预测将很快成为现实。" 许多组织已经在寻找一种解决方案来分析开源组件,这些组件是供应链中的绝大多数组件,并被其大多数应用程序使用。理想情况下,这个解决方案应该作为他们使用的SAST平台的一部分提供。摘要基于Joseph的文章和这篇文章,我们认为以下内容最好地说明了所建议的AST解决方案框架的差异:主题真码预测马克思预测交付模式基于云的交付将超过内部部署由云、本地和托管服务组成的灵活交付模式Appsec专业知识(SAST)将SAST授权给第三方、独立、基于云的安全专家开发人员支持以及应用程序安全专家的指导DevOps的SAST专为DevOps设计的SAST版本尽管如此,阿里云cc防御,SAST产品从一开始就不是为DevOps设计的,将发现很难适应严格的DevOps要求DevOps中的动态测试DAST主要用于测试阶段,在满足单个开发人员的需求方面落后于SAST在达普斯的德维斯特。DAST将成为一个登台和笔测试服务生物最新帖子玛蒂·西曼Maty在过去12年里一直活跃于IT行业,在软件开发、IT安全和源代码分析方面拥有丰富的经验。在创立Checkmarx之前,Maty在以色列总理办公室工作了两年,担任高级IT安全专家和项目经理。Maty Siman的最新帖子Checkmarx报告:解决DevOps周期中的软件暴露问题-2018年8月7日