问题
DevSecops将DevOps的哲学演变为开发过程中的安全性。如果可以的话,将其移动“左”。从第一天开始将安全放在议程上,这具有去除下游瓶颈的承诺。DevSecops通常被称为“安全成熟”方法 - 安全最终获得应有的信任。
从理论上讲,这一切都很好,但是实际上,有一个很大的绊脚石。这是因为在敏捷的启动中,在拥抱DevOps或DevSecops时很容易,但对于已建立的企业来说,这要困难得多。因此,尽管DevSecops周围有很多炒作,但这并不总是转化为许多实际在做DevSecops的人。
因此,如果您知道自己的团队还没有完全准备好DevOps,则如何在实践中提高安全成熟度?
务实的步骤
自从我们开始工作Burp Suite Enterprise Edition,我们一直在思考左转。对我们来说,显而易见的是,渐进式方法通常效果最好。与我们的用户交谈时,我们发现这对于许多已建立的组织来说也是如此。
因此,我们将安全成熟度视为连续性。如果可以的话,一个滑动刻度。当您发展成熟度时,您会进入积极的反馈循环,而组织的进步自然会加速。即使在可预见的将来,DevSecops并不是您看到的东西,一旦人们开始购买,您的旅程最终带走了您的旅程可能会感到惊讶。
还值得注意的是,这一领域的进展可能在企业中可能不是对称的 - 当然在初始阶段。不同的团队和部门自然会以不同的速度移动。但是,随着您的早期采用者开始收获增强的安全成熟度的回报,其他人将加入。因此,继续道德周期。
测试只是冰山一角
渗透测试扮演着重要的角色,但众所周知,它的扩展不佳。现代漏洞很复杂,根本没有足够的测试人员。开始在您的投资组合中经常扫描应用程序(以及常规五边形)是迈向DevSecops的强大一步。这使AppSec团队释放了专注于重要的事情。
但是,仅在左右转移时,简单地测试应用程序就远非故事的结尾。进一步,目标是自动化扫描CI/CD管道并找到及时向开发人员提供反馈的方法,以便他们可以在制造的情况下修复错误。
将这种自动化与开发安全基础知识以及开发安全的编码框架进行教育,您可以为建立建造的坚实基础。持续学习和支持是一个容易被忽视的安全成熟领域。
左转的好处
当然,在这一点上,您可能会问自己,为什么您想向左移动安全性?好吧,考虑建造房屋的类比。如果您犯了一个错误,那么只有在房屋签约的前一天只注意到它,那就不好了。您永远不会及时修复它。在这个地方仍然是建筑工地时,可以检测和修复它。
发展也是如此。如果应用程序的逻辑有缺陷,您真的想尽早发现它。尽管这种错误通常可以在开发开始时进行对话来解决,但如果直到在此过程后期才发现它,这很容易意味着重新启动。您发现一个错误的时间越昂贵,就越昂贵。
通过在每个人的议程上进行安全性,左转的左右在后期发展中的惊喜却少得多。尽管没有人应该期望开发人员成为安全专家,但鼓励基本知识水平会减少产生的错误数量。快速,最新的反馈有助于实现这一目标 - 就像免费资源一样beplay体育能用吗网络安全学院。
怎么做?
左转是一个关键指标,表明组织已经发展了其安全成熟度。这正是我们设计的Burp Suite Enterprise Edition帮助您做。
Burp Suite Enterprise Edition包含与可信赖的扫描仪Burp Suite专业人士,但重新包装以便任何人都可以使用它。从安排重复扫描到了解您的安全姿势 - 一切都触手可及。如果您希望,还可以在CI/CD管道中无缝集成扫描。
有关Burp Suite Enterprise Edition如何帮助您向前推进安全成熟度的更多信息,请查看下面的视频Dafydd Stuttard。beplay官网可以赌您可能还想了解有关DevSecops解beplay维护得多久决方案我们提供。当然,你总是可以与我们交谈。
