安全玻璃盒 IAST | 如何构建应用安全全生命周期解决方案——【DevSecOps】

  • 为何需要建立DevSecOps?

    • 1.1应用软件安全风险的影响
    面对当前万物智能互联、数字经济高速发展的大环境下,应用软件安全对于推动我国数字经济发展、维护社会稳定及国家安全都将起着至关重要的地位和作用。据Gartner报告显示:超过 80% 的网络***都发生在应用层,所披露的漏洞70%以上与应用安全有关,特别是SQL注入、XSS、CSRF、目录遍历等漏洞,所以应用安全将是安全保障的重中之重。

    1.2安全需要前置
    当前以云计算、大数据及人工智能等为核心技术,构建了万物互联的数字智能世界,消除了原有传统网络和应用的边界,让原本边界安全防护理念付诸东流,给安全带来了极大的挑战。
    在万物互联背景下,我们要从“有病治病”向“增强体质”的思维转变,要围绕以“业务和数据为核心”,以“在万物互联时代下,不仅需要更多的安全软件,而且需要更安全的软件”为安全理念,将安全工作前置在开发、测试等各个环节,达到“安全即代码、治标亦治本”的安全目标。如未能在上线前和生产过程中进行持续测试并且修复安全问题,就无法确保应用上线及投产后其持续改进的安全性。安全前置,不仅大大提升应用软件的安全能力,而且可在最早阶段、用最低成本解决最大比例的安全风险,所以安全前置是万物互联环境下的核心创新安全理念和最佳安全赋能措施。

    1.3新技术新应用所带来的新风险
    万物互联的数字智能世界,推动着全球数字经济的高速发展,面对于云上应用、大数据应用、产业互联网以及物联网智能应用软件,消除了原有网络和应用的安全边界,当前主流检测与防护技术都难以满足万物互联背景下的安全赋能,特别针对当前容器应用、API、微服务等新应用架构和应用加密、防重放、带验签等新应用场景下的安全赋能。
    我们以“万物互联时代,不仅需要更多的安全软件,而且需要更安全的软件”为安全核心思想,让安全贯穿开发至运营的各个环节。利用AI和自动化等新技术实现安全新赋能,将安全与软件高度耦合的交互式应用安全检测与防护技术,让安全与业务高耦合、相同步、相适应,不仅为用户提供更安全的软件,同时也满足在万物互联环境对应用软件的安全防护。

    1.4运行防护也是重要组成部分
    既不能陷入“将安全漏洞的数量降为零”的错误追求中,安全开发、测试的负担识别加重,且很可能成为业务发展的一个障碍;所以持续的风险和信任评估以及对应用程序漏洞要进行优先级排序,可以通过使用运行时保护控制来补偿已知较低风险的脆弱性或未知脆弱性的剩余风险。

    1. 构建DevSecOps工作的重点和难点

    DevSecOps安全解决方案,以“万物互联时代,不仅需要更多的安全软件,而且需要更安全的软件”为核心安全理念,让安全贯穿整个业务生命周期的各个环节,包括技术开发、测试、发布、上线、部署及运营等各个阶段。从而构建新一代安全、高效、合规的全生命周期应用安全运营体系,从安全供给侧为“数字经济”保驾护航。


    2.1组织文化和思维方式的转变
    n 安全前置
    DevSecOps安全解决方案以基于“万物互联时代,不仅需要更多的安全软件,而且需要更安全的软件”为核心安全理念;需要将安全工作前置在开发、测试等的各个环节,实现产业互联背景下的安全赋能。

    n 安全人人有责
    让开发、安全、运维共同拥抱DevSecOps理念与文化,需要改变过去只有安全人员对安全负责的态度和观念,不能让仅极少数的安全人员,被视为是对项目推进的阻碍、内部生产效率的破坏,必须能让开发、运维和安全都应该对安全负责,协同工作、共同担当。
    n 安全服务经营

    安全目标是应用系统的安全风险降低到用户可接受的程度并满足合规性的要求;如果没有监管方面的缺陷,那么可以接受多少风险并不取决于信息安全,而是由业务应用所有者最终做出的商业决策。

    n 安全全生命周期
    以基于“万物互联时代,不仅需要更多的安全软件,而且需要更安全的软件”为核心安全理念和安全服务经营的宗旨。从而构建基于应用的全生命周期安全运营体系,让安全贯穿整个业务生命周期(从开发到运营)的各个环节,包括技术开发、测试、上线及运营等各个阶段的安全赋能。从而构建新一代安全、高效、合规的全生命周期应用安全运营体系,从安全供给侧为“数字经济”保驾护航。

    2.2安全集成流程自动化
    信息安全要为企事业单位的经营和发展服务,业务发展和工作效率是企业发展的关键要素与核心竞争力,信息安全工作必须适应开发至运营各个环节的工具及流程,不能因信息安全工作让开发、运维工作者离开他们熟悉的工具链环境,让工作流程变复杂、工作效率更低,而是要让IT工作者时间更有商业价值。DevSecOps是将安全通过AI和自动化检测技术高效、透明地融入开发至运营的各个环节,集成到开发者的开发环境(IDE)和CI/CD工具链的工具中,不改变原有的工作环境和生态链,从而构建便捷、高效、安全及合规的应用安全能力。

    2.3利用新技术赋能新安全
    利用新技术推动安全来贯穿整个业务全生命周期的各个环节,满足云上应用、大数据应用、工业互联网等新技术应用架构下的安全赋能,从而更加有效保障其方案实施的便捷性、安全性和合规性。同时,应更好适应现有容器、微服务等云原生技术的新应用架构和识别开源软件、第三方代码库及敏感信息泄漏等安全风险的能力。
    如交互式应用安全测试系统-IAST,利用运行时非执行态的核心安全检测技术,通过功能操作即可自动化输出安全结果,精确定位易受***的代码行并提供了详细的上下文修复示例,帮助开发团队可以快速修复漏洞。可完全解决当前漏洞扫描系统存在较高误报率;人工***测试受技术专业能力的局限,而且费时费力,无法满足产品快速迭代的需求;也完全满足当前容器应用、API、微服务等新应用架构和应用加密、防重放、带验签等新应用场景下的安全风险。

    通过自适应应用安全架构和智能检测算法,可实现执行类0 day应用漏洞的实时检测与防护,达到运行时"自我保护"的安全能力;同时可对敏感信息、运行环境及三方组件进行实时安全检测和分析;完全适用云上应用、大数据技术应用和物联网智能互联等应用平台的安全检测和防护。

    原文地址:https://blog.51cto.com/14735238/2473967

    时间: 2024-08-01 08:21:41

    安全玻璃盒 IAST | 如何构建应用安全全生命周期解决方案——【DevSecOps】的相关文章

    SView航天全生命周期解决方案

    在产品的全生命周期管理中,越来越多环节需要产品的数据协同,在这其中以3D模型为数据基础,向各阶段人员提供一致的产品和项目信息,达到更好的沟通和协作,模拟真实性以便让各方更高效.更精确的生产制造. 需求描述? 卫星.运载火箭等航天器结构越来越复杂,三维设计模型越来越大,大模型的显示.浏览和使用越来越困难:? 现场人员在航天器操作和检验时浏览卫星模型和电子化表格记录非常不便,需要加强现场质量数据表格化记录的规范性.结合航天院所的实际应用,SView提供了从设计研发.工艺规划.生产制造.质量检验.维修

    Spark Streaming源码解读之Receiver在Driver的精妙实现全生命周期彻底研究和思考

    一:Receiver启动的方式设想 1. Spark Streaming通过Receiver持续不断的从外部数据源接收数据,并把数据汇报给Driver端,由此每个Batch Durations就可以根据汇报的数据生成不同的Job. 2. Receiver属于Spark Streaming应用程序启动阶段,那么我们找Receiver在哪里启动就应该去找Spark Streaming的启动. 3. Receivers和InputDStreams是一一对应的,默认情况下一般只有一个Receiver.

    Spark 定制版:009~Spark Streaming源码解读之Receiver在Driver的精妙实现全生命周期彻底研究和思考

    本讲内容: a. Receiver启动的方式设想 b. Receiver启动源码彻底分析 注:本讲内容基于Spark 1.6.1版本(在2016年5月来说是Spark最新版本)讲解. 上节回顾 上一讲中,我们给大家具体分析了RDD的物理生成和逻辑生成过程,彻底明白DStream和RDD之间的关系,及其内部其他有关类的具体依赖等信息: a. DStream是RDD的模板,其内部generatedRDDs 保存了每个BatchDuration时间生成的RDD对象实例.DStream的依赖构成了RDD

    [转载]DevOps建立全生命周期管理

    全生命周期管理(ALM)领域作为企业DevOps实践的总体支撑,应该说是DevOps领域中最为重要的实践领域,也是所有其他实践的基础设施.现在很多企业都非常重视CI/CD自动化工具的引入和推广,但是对ALM的建设的重视程度并不够.CI/CD的火爆很大程度上是被Docker和DevOps的热潮带动的,但CI/CD自动化只是提升团队效率的一个环节,如果没有ALM工具的支撑,CI/CD也只是空中楼阁,无法起到整体优化团队工作效率的作用,甚至局部的效率提高还会造成团队的不适应甚至抵触.如果管理者看不到自

    第9课:Spark Streaming源码解读之Receiver在Driver的精妙实现全生命周期彻底研究和思考

    一:Receiver启动的方式设想 1. Spark Streaming通过Receiver持续不断的从外部数据源接收数据,并把数据汇报给Driver端,由此每个Batch Durations就可以根据汇报的数据生成不同的Job. 2. Receiver属于Spark Streaming应用程序启动阶段,那么我们找Receiver在哪里启动就应该去找Spark Streaming的启动. 3. Receivers和InputDStreams是一一对应的,默认情况下一般只有一个Receiver.

    Spark发行笔记8:解读Spark Streaming RDD的全生命周期

    本节主要内容: 一.DStream与RDD关系的彻底的研究 二.StreamingRDD的生成彻底研究 Spark Streaming RDD思考三个关键的问题: RDD本身是基本对象,根据一定时间定时产生RDD的对象,随着时间的积累,不对其管理的话会导致内存会溢出,所以在BatchDuration时间内执行完RDD操作后,需对RDD进行管理. 1.DStream生成RDD的过程,DStream到底是怎么生成RDD的? 2.DStream和RDD到底什么关系? 3.运行之后怎么对RDD处理? 所

    Spark发行版笔记10:Spark Streaming源码解读之流数据不断接收和全生命周期彻底研究和思考

    本节的主要内容: 一.数据接受架构和设计模式 二.接受数据的源码解读 Spark Streaming不断持续的接收数据,具有Receiver的Spark 应用程序的考虑. Receiver和Driver在不同进程,Receiver接收数据后要不断给Deriver汇报. 因为Driver负责调度,Receiver接收的数据如果不汇报给Deriver,Deriver调度时不会把接收的数据计算入调度系统中(如:数据ID,Block分片). 思考Spark Streaming接收数据: 不断有循环器接收

    kubernetes部署全生命周期实践(一)

    kubernetes部署全生命周期实践(一) - 1.部署应用 kubectl run kubernetes-bootcamp --image=docker.io/jocatalin/kubernetes-bootcamp:v1 --port=8080 - 2.映射外部可以访问的端口 kubectl expose deployment kubernetes-bootcamp --type="NodePort" --port 8080 - 3.查看服务 kubectl get servi

    全生命周期的思维方式

    宇宙中任何事物,都具有从出生到死亡的过程,大到银河系的星球,小到地球上的微生物,无论其生命长短,都具有从出现到消亡的过程. 组织中的各种事物同样要经历从无到有,从有到无的发展过程.对于企业而言,其客户要经历考察期.形成期.稳定期和退化期四个阶段:企业的产品同样会经过投入期.成长期.成熟期和衰退期四个阶段:企业的设备资源会经过采购.使用.磨损.废弃等几个阶段:企业的员工会经过招募.入职.培训.提拔.解约等几个阶段:企业的信息系统会经过需求分析.架构设计.开发测试.上线运行.运维维护.下线退出等几个