安全自动化的5种方法?
来源:CPDA数据分析师网 / 作者:数据君 / 时间:2020-12-09
安全自动化:5种有意义的方法
但这是一个非常笼统的说法,关于实现安全自动化有什么建议?继续阅读对企业有意义的五种方法,了解对您重要的事情,许多安全工具可以集成到自动化流程中,以这种方式进行安全性集成通常是通过DevSecOps来实现的,企业从DevOps扩展一些实践和流程的一种方式,以继续快速的开发和发布周期,同时解决安全问题,这样做不会造成经常被指责为安全的开销和延迟。
对于一般应用程序,特别是云原生应用程序
一个持续挑战是安全性是一个多方面的问题,正在扫描源代码中的已知漏洞,确认使用了应用程序依赖项的当前版本(如库)来构建代码,在检查生产中正在运行的应用程序是否保持,正在寻找将应用程序与所需的其他组件封装在一起的容器中的漏洞,确保应用程序平台,工具链和开发人员客户端本身是安全的。
其中许多任务需要不同的工具
但是并非所有这些任务对您来说都具有同等重要的意义,如果您尚未使用容器 -或仅使用自己构建的容器-容器扫描工具可能不应该放在优先位置,如果您处于受监管的环境中,则可能需要为某些类型的数据或通信优先考虑额外的安全级别。
追求低落的果实
尽管实施更全面的安全性方法可能是一个重要的项目,但是您可以通过一些相对较小的改进而大获全胜,确保您的软件供应链安全,通常随着开源软件使用的增加,开源代码正越来越多地进入私有和开源应用程序中,该课程不应避免使用开源库和其他组件,应该从受信任的来源获取经过签名的软件,并使其保持状态,如果在开发过程中使用开源软件,那么改善软件供应管理是您可以采取的重要的步之一,而且您几乎肯定会这样做。
文化胜过一切过程王牌工具有很多好的工具
而且您应该至少利用其中一些来自动执行安全性,但是仅靠工具是不够的,需要有一个过程,以一致的方式使用工具,自动化对此有很大帮助,但是您还需要一种安全文化,在这种文化中,安全是每个人都在考虑的事情,而不是留给安全团队,这并不是说每个人都必须是安全专家,但是我想指出由开放Web应用程序安全性项目维护的十大Web安全性风险列表 ,引人注目的是,每年变化不大,但这并不是一个好方法,回到十年左右的清单中,您会发现许多与今天相同的风险。变化来得很慢。因为这很重要,因为文化很难改变。
左移自动化
具有一种安全文化的结果是,该文化实现了可靠的安全流程并在整个开发过程中使用了安全工具:安全性早就内置了,这是有利的,因为即使您终在代码投入生产之前就发现了所有安全漏洞,而您也不会发现,在代码投入生产之前就发现了一个问题,这意味着您现在必须从头开始,重来这就是安全性成为瓶颈的方式,相反,应尽早发现问题,并且修复起来可能会相对便宜,这意味着在将依赖项中的漏洞添加到您的应用程序之前,他们会执行一些操作,例如使用自动扫描来捕获依赖项中的漏洞,这是现代制造系统中的一种众所周知的做法,您希望在将零件安装到车辆中之前就遇到供应商问题,而要少运给客户。
安全自动化也与运营团队有关
尽管DevSecOps一字不漏地进行操作,但鉴于DevOps历来倾向于以开发人员为中心,因此选区通常会短暂更改,安全自动化对操作团队同样重要, 当您更有可能修复长期运行的虚拟机或服务器实例中的漂移和其他问题时,这种自动化通常看起来与采用云原生架构之前的自动化有所不同,现在您更有可能杀死一个容器并启动一个新容器,但是您需要知道哪些容器需要使用新的容器版本进行更新,其中包括针对新发现的问题的安全补丁,此外迅速将这些更新的容器投入生产而不会造成停机,这可能会受益于蓝绿色和金丝雀的部署。
这听起来像很多工作吗?这是如果您手动进行
但这是一个非常笼统的说法,关于实现安全自动化有什么建议?继续阅读对企业有意义的五种方法,了解对您重要的事情,许多安全工具可以集成到自动化流程中,以这种方式进行安全性集成通常是通过DevSecOps来实现的,企业从DevOps扩展一些实践和流程的一种方式,以继续快速的开发和发布周期,同时解决安全问题,这样做不会造成经常被指责为安全的开销和延迟。
对于一般应用程序,特别是云原生应用程序
一个持续挑战是安全性是一个多方面的问题,正在扫描源代码中的已知漏洞,确认使用了应用程序依赖项的当前版本(如库)来构建代码,在检查生产中正在运行的应用程序是否保持,正在寻找将应用程序与所需的其他组件封装在一起的容器中的漏洞,确保应用程序平台,工具链和开发人员客户端本身是安全的。
其中许多任务需要不同的工具
但是并非所有这些任务对您来说都具有同等重要的意义,如果您尚未使用容器 -或仅使用自己构建的容器-容器扫描工具可能不应该放在优先位置,如果您处于受监管的环境中,则可能需要为某些类型的数据或通信优先考虑额外的安全级别。
追求低落的果实
尽管实施更全面的安全性方法可能是一个重要的项目,但是您可以通过一些相对较小的改进而大获全胜,确保您的软件供应链安全,通常随着开源软件使用的增加,开源代码正越来越多地进入私有和开源应用程序中,该课程不应避免使用开源库和其他组件,应该从受信任的来源获取经过签名的软件,并使其保持状态,如果在开发过程中使用开源软件,那么改善软件供应管理是您可以采取的重要的步之一,而且您几乎肯定会这样做。
文化胜过一切过程王牌工具有很多好的工具
而且您应该至少利用其中一些来自动执行安全性,但是仅靠工具是不够的,需要有一个过程,以一致的方式使用工具,自动化对此有很大帮助,但是您还需要一种安全文化,在这种文化中,安全是每个人都在考虑的事情,而不是留给安全团队,这并不是说每个人都必须是安全专家,但是我想指出由开放Web应用程序安全性项目维护的十大Web安全性风险列表 ,引人注目的是,每年变化不大,但这并不是一个好方法,回到十年左右的清单中,您会发现许多与今天相同的风险。变化来得很慢。因为这很重要,因为文化很难改变。
左移自动化
具有一种安全文化的结果是,该文化实现了可靠的安全流程并在整个开发过程中使用了安全工具:安全性早就内置了,这是有利的,因为即使您终在代码投入生产之前就发现了所有安全漏洞,而您也不会发现,在代码投入生产之前就发现了一个问题,这意味着您现在必须从头开始,重来这就是安全性成为瓶颈的方式,相反,应尽早发现问题,并且修复起来可能会相对便宜,这意味着在将依赖项中的漏洞添加到您的应用程序之前,他们会执行一些操作,例如使用自动扫描来捕获依赖项中的漏洞,这是现代制造系统中的一种众所周知的做法,您希望在将零件安装到车辆中之前就遇到供应商问题,而要少运给客户。
安全自动化也与运营团队有关
尽管DevSecOps一字不漏地进行操作,但鉴于DevOps历来倾向于以开发人员为中心,因此选区通常会短暂更改,安全自动化对操作团队同样重要, 当您更有可能修复长期运行的虚拟机或服务器实例中的漂移和其他问题时,这种自动化通常看起来与采用云原生架构之前的自动化有所不同,现在您更有可能杀死一个容器并启动一个新容器,但是您需要知道哪些容器需要使用新的容器版本进行更新,其中包括针对新发现的问题的安全补丁,此外迅速将这些更新的容器投入生产而不会造成停机,这可能会受益于蓝绿色和金丝雀的部署。
这听起来像很多工作吗?这是如果您手动进行
而且您也会犯错误,相反监视生产中的容器并根据需要刷新它们的过程需要健壮且自动化的过程,这是整个安全自动化的共同点,计算环境已经变得足够复杂和相互依存,威胁形势也变得如此危险,以至于自动化不再只是一个好习惯或要在“某天”实施的东西。
商业联合会数据分析专业委员会
京公网安备 11010502034401号
课程体系 
试听申请 
复听申请 
在线报名 
考试大纲 
考试报名 
准考证打印 
