一个房子作为DevSecOps的隐喻

最近,我们采访了Aleksandr Krasnov,他是Dropbox的产品安全工程师,也是一个全能的人DevSecOps专家。曾参与多个硅谷DevSecOps实现的工作,Aleksandr有一些关于公司如何通过DevSecOps开始改进其安全性的很好的提示。

最近的一项Portbeplay官网可以赌Swigger客户调查显示,被抽样的42%的大型企业组织目前正在投资于这种类型的加速软件交付。我们最近的行业统计分析也强调了DevSecOps的增长


Aleksandr Krasnov - DevSecOps专家

关于亚历山大

Aleksandr Krasnov是一位通过实施DevSecOps来帮助公司提高效率和增强安全意识的专家。当他不帮助确保一些世界上最受欢迎的应用程序时,这位前职业跑步者喜欢为他的家人做饭,并参加Tough Mudders比赛。他也是一名bug赏金猎人,尤其喜欢捕捉旗帜(CTF)挑战。

浏览你的网站beplay体育能用吗

亚历山大的第一个建议是,知识本身就是力量。你不需要在做DevSecOps时直接跳进深渊。通过简单的扫描你的网站beplay体育能用吗,你可以看到你的安全漏洞在哪里,并开始优先修复它们。每个人都有这些盲点,但通过找到它们,你就能知道当地的地形(并因此在晚上睡得更好)。

说到这个,亚历山大有个很好的比喻。你可以把你的网站想象成你的房子。beplay体育能用吗晚上睡觉前,你可能会检查一下门窗是否锁好了,是否安全。如果有一天晚上你发现一扇窗户的钩子坏了,你可能不会在就寝前修好它(尽管它肯定会出现在你的待办事项清单上)。但如果你从来没检查过窗上的钩子呢?

尺度扫描方法

这是一个很好的方式来考虑角色扫描在DevSecOps中可以发挥的作用。实际上,PortSbeplay官网可以赌wigger的观点是,如果使用dynamic (DAST)的方法,那么它是加倍的-因为动态扫描或多或少像敲响那些门和窗口寻找漏洞。动态扫描模拟网络罪犯可能会做什么来尝试并突破您的防御。

动态(DAST)扫描的另一个好处(相对于更复杂的方法,如交互式(IAST)测试)是它的侵入性也小得多。用DAST扩展房子的比喻,你不会在睡觉前打开前门的锁。你(相当明智地)从一开始就没有拆除它。

为DevSecOps准备开发团队

亚历山大曾在多家公司担任DevSecOps的职务,但有一件事对他来说一直不变。他认为DevSecOps工程师的角色是让开发人员的生活更轻松,压力更小。如果他的工作做得好,开发团队永远不会注意到他。但他设置的“护栏”让他们对自己的代码更有信心。

当我们问他一个开始DevSecOps之旅的组织是否应该先在DevOps上停留一下时,亚历山大的回答是“不”。他是硅谷著名的颠覆性变革的拥护者。但是,即使您的组织还没有准备好,您也可以循序渐进地朝着DevSecOps前进,而几乎没有失败的风险。

将你的第一次扫描视为MVP(最小可行产品)方法DevSecOps安全。这是你可以建立的基础;它不需要花费地球。Burp Suite企业版的透明定价这能给你信心吗。企业版很好地通过手工测试打嗝套件专业,当你的视野扩大时,它能与你一起扩展。

使其可伸缩

DevSecOps的成本效益介绍的一个巨大好处是,由于它提供了明确的ROI,它使您组织的高管更容易购买。这将在DevSecOps实现的后期阶段有所帮助,在这些阶段通常需要进行更多破坏性的更改。这一阶段的颠覆性意味着买进是关键。

这种吸引力并不局限于高管。因为DevSecOps使开发更加高效,同时提高了安全意识,这对每个人来说都是一个双赢的局面。这吸引了一批追随者。一旦你实现了MVP,你就会发现将DevSecOps人才引入你的团队更容易了。

你会看到好处

所以-开始扫描你的网站规模。beplay体育能用吗拨弄那些窗框。这将向您显示您的漏洞在哪里,因此您可以开始对它们进行优先级修复。每个网络应用beplay体育能用吗程序都有这些漏洞——只要找到它们就行了。通过定期扫描您的资产,您将开始看到许多进程发生:

  • 提高安全意识和所有权。
  • 提高开发/DevOps团队的安全性知识。
  • SDLC中安全性的增量集成。
  • 加快发展,更有成效其中,增强了敏捷性。

取一个Burp Suite Enterprise Edition的试用版让这一切尽快开始。我们的团队正等着给你建议-告诉我们该怎么帮你