来自 DDOS 2021-10-11 13:24 的文章

香港高防ip_网站云防护_限时优惠

香港高防ip_网站云防护_限时优惠

最近行业向DevOps的转变清楚地表明,组织正在采用这种开发和操作模型来促进自动化软件交付和部署的实践。因此,各组织都认识到,他们传统的软件安全方法很难适应这种新的模型,因为安全性常常被视为DevOps的抑制剂。在这个博客中,我将深入研究两个方面,这两个方面应该有助于确保将安全性嵌入到DevOps计划中的绝对最佳方法。要了解有关在DevOps中嵌入安全性的其他几个方面的更多信息,请在此处下载我们的电子书。在讨论DevOps中的安全性时,让我们首先定义什么是安全性。在软件开发、测试和操作的世界中,安全可以意味着许多不同的东西。从定义安全策略、自动化安全测试和识别漏洞,到关联结果、修补漏洞,最后,管理和监控安全程序和开发人员的KPI,组织中存在许多安全阶段。在讨论将安全性嵌入到DevOps中时,有几个活动与SDLC中使用的应用程序安全性测试(AST)解决方案直接相关。例如,DevOps的两个关键方面涉及到测试结果的相关性和已发现漏洞的修复。当这两个活动都以尽可能自动化和集成化的方式执行时,组织可以从其AST解决方案中获得额外的价值。让我们更详细地探讨以下主题。试验结果相关性关联背后的想法是提高高风险发现(检测到的漏洞)的可信度和优先级,c语言ddos防御软件,这是由于执行了AST扫描,尤其是当您能够关联来自不同扫描解决方案的相同发现时。例如,如果SAST在静态测试期间发现了一个SQL注入漏洞,并且IAST在交互测试期间确认了相同的发现,如果您能够从单个软件安全平台将这两个发现关联在一起,那么您可以相信该发现很可能是一个真正的积极结果。在这种情况下,发现可重复的可能性极高。在这种情况下,需要尽早修复漏洞,而不是推迟修复。当组织有数百个应用程序,并且他们的AST解决方案检测到数千个潜在的漏洞时,当组织能够理解扫描结果中的大量数据时,扩展能力就开始了。今天,很少有组织进行手动关联。要么他们有相关的工具,或者简单地说,他们没有关联他们的测试结果。修复发现的漏洞补救有两个方面。一是该修什么,二是怎么修。当提到应该修复什么时,香港高防cdn,在规模的上下文中,没有开发人员能够处理成千上万的漏洞发现。您需要确保您能够以开发人员能够消化的方式对所有这些发现进行优先级排序。开发人员需要能够专注于什么是最重要的,抗D保-DDoS防御,并致力于修复漏洞,ddos服务器防御软件,以指数级的方式降低最大的风险。有能力在成千上万的发现中设置一个自动的优先顺序机制是最重要的。使用一组标准,组织可以定义什么更重要,什么不重要。例如,新发现的开源漏洞可能比自定义代码中的漏洞更重要。修复已经存在了60多天的漏洞可能比新发现的东西更重要。有很多标准可以让你控制如何最终确定结果的优先级。当以自动化的方式完成时,您可以扩展,并且每个开发人员都会收到他们需要以自动化方式修复的代码段。如果自动优先级划分机制也作为AST解决方案的一部分,那么它应该包括机器学习算法,这些算法旨在将开发人员和/或AppSec团队的注意力集中在哪些是真正的积极因素上。今天的机器学习算法有能力为各种发现设置百分比权重。例如,机器学习算法可以被教导理解一种类型的漏洞具有非常高的真阳性率,同时了解到另一种类型的漏洞具有非常低的真阳性率。这可以极大地提高对真阳性与假阳性的信心。这正是自动化越来越有用的地方。一旦团队决定需要修正什么,通常是基于商定的软件安全策略,下一个决定就是如何修正漏洞。在这里,像Checkmarx代码攻击这样的安全编码教育(SCE)可以提供很大的帮助。Codebashing教授开发人员如何使用针对该类型漏洞的定制课程来修复某个漏洞,特别是因为Codebashing可以直接集成到开发人员的ide中。如果组织将其在部署的不同AST解决方案中的发现关联起来,并通过以尽可能精简的方式将结果交付给开发人员和AppSec团队来修复其漏洞,则允许组织大规模地降低其安全风险。因此,请寻找一个平台,该平台可以聚合已部署的不同AST解决方案的扫描结果,并通过使用机器学习算法、关联、策略调整和自定义权重来自动确定结果的优先级。要了解有关在DevOps中嵌入安全性的其他几个方面的更多信息,防御ddos云盘,请在此处下载我们的电子书。   应用程序安全警告应用程序安全程序应用程序安全漏洞结果关联软件安全平台漏洞修复生物最新帖子斯蒂芬·盖茨Stephen Gates是一位经验丰富的作家、博客作者和出版作家,他为Checkmarx团队带来了15年以上的信息安全实践知识。Stephen致力于传达事实、数字和信息,使所有组织和消费者都认识到网络安全问题。为了配合Checkmarx为所有组织提高软件安全性的使命,他是全球范围内解决方案的倡导者和推动者。斯蒂芬·盖茨的最新帖子关于真实世界网络安全培训的卓越大学研究-2020年9月23日应用安全:动荡往往会导致变革-2020年9月9日DevSecOps之路:根据NIST SP 800-53的安全和隐私控制-2020年9月1日