云原生应用安全模式适应研发优先级
发布时间:2023-05-27 10:53:43 所属栏目:云计算 来源:
导读:使用可持续的安全认证制度,需要做出大量改变来保护应用程序和基础设施。转变是一个旅程,每个组织都不相同,甚至同一组织的不同部分也不同。
虽然选择正确的道路是由你的决定,但为了让它正确,模式和最佳实践已经
虽然选择正确的道路是由你的决定,但为了让它正确,模式和最佳实践已经
|
使用可持续的安全认证制度,需要做出大量改变来保护应用程序和基础设施。转变是一个旅程,每个组织都不相同,甚至同一组织的不同部分也不同。 虽然选择正确的道路是由你的决定,但为了让它正确,模式和最佳实践已经开始出现。在本文中,我提出了几个可以考虑打破现状的领域,以及如何打破现状。 重新思考工具 除了组织架构的改变,CNAS 和“开发优先”还需要重新评估你的工具包。鉴于这种新视角,你应该重新考虑在技术解决方案中寻找的最重要特征,以及你希望如何捆绑工具。 有很多方法可以重新评估工具,但我建议关注三个主要领域:开发工具采用、平台范围和治理方法。 开发人员工具口径 如果我们的目标是让开发人员在日常工作中能够构建安全性,我们需要确保为他们提供针对该目标进行优化的工具。如果你购买专为审计人员设计的解决方案并要求开发人员使用它们,那么你不太可能取得成功。 不出所料,开发人员习惯于使用开发人员惯用的工具。这些工具代表了整个行业,围绕着什么是优秀的开发者工具这一主题,已经在行业内发展了自己的最佳实践。为了帮助你选择开发人员采用的安全解决方案,你应该根据开发者工具最佳实践评估这些工具,并了解它们的表现如何。 以下是优秀的开发者工具的一些常见特征: 成功的自助服务采用 实际上,所有成功的开发工具都具有出色的自助服务用法,包括轻松的上手培训、直观的工作流程和出色的文档。这是开发人员喜欢使用工具的方式,它迫使供应商确保他们的工具与开发人员相关,而无需销售人员推动它。除非你想成为向开发人员推广工具的销售人员,否则请寻找具有开发人员自助服务采用的良好记录的工具。 无缝集成到工作流程中 在大多数情况下,开发工具经常与开发人员打交道,而不是要求他们再打开另一个工具。它们优雅地集成到IDE、Git 和研发管道中,并在正确的时间点提供价值。集成不仅仅是技术钩子;他们需要适应工作流程和最佳实践,否则将被拒绝采用。 丰富的API和自动化友好 虽然需要固执己见的集成才能开始,但开发工具也必须是瑞士军刀。丰富的API和自动化友好的客户端(CLI/软件开发工具包[SDK])是强制性的,既可以将该工具调整到每个管道,又允许社区在其上进行构建。如果你不能在工具上构建,它就不是一个伟大的开发工具。 开源和社区采用 开发人员希望其他开发人员来验证工具的可信度,而开源采用是最好的指标。看到开源项目集成了安全工具或基于此构建的开源项目,这些都是很好的开发人员进行社区功能的验证。在下面检查安全工具时,检查它在以前的开源中的采用方式的情况并得出自己的结论。 这些只是众多开发工具最佳实践中的一小部分。如果你想了解更多关于开发优先安全性的特定安全建议,请继续往下看。此外,在评估任何工具时,请确保让实际的应用程序开发人员参与进来,以便从现实生活中了解它与周围环境的契合程度。 平台范围 当前主流的 AST 平台主要关注自定义代码,也许还有应用使用的开源库。工具套件主要由 SAST、DAST 和 IAST 组成,最近又添加了 SCA。当你拥抱更广泛的云原生应用程序范围时,请重新考虑平台的构成。 首先,让我们考虑一下哪些工具从成为单一平台的一部分中受益。它们可以分为下面几个部分: 共享用户:如果不同的工具是为不同的主要用户设计的,那么它们几乎不需要成为单个平台的一部分,因为它们无论如何都会单独使用。 共享工作流:如果以类似的方式使用多个工具并集成到用户工作流的类似点中,则可以通过组合它们来节省集成时间以及用户的时间和精力,而无需使用多个单独的工具。 共享优先级:如果来自不同工具的行动项应彼此优先排序,则共享积压工作可以提高效率和结果。 价值倍增:最后,工具共享平台的最强驱动力是当工具一起使用可以增强每个工具的价值。这个标准自然解释了为什么像SAST和SCA这样的技术非常适合单一平台。两者都为相同的开发人员用户提供服务,运行扫描并在相同的位置吸引用户,并共享同一开发人员需要优先考虑的安全漏洞的积压。在高级 SCA 解决方案中,SAST 技术可以指示你的自定义代码是否调用库中易受攻击的代码,从而提供更高的准确性,从而增加价值。sast技术的优势在于它可以帮助企业快速部署应用程序,并且不需要额外的开发人员。 (编辑:聊城站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
