最近,我们赶上了Aleksandr Krasnov,他是Dropbox的产品安全工程师,还有一个全方位的DevSecops专家。Aleksandr研究了多个硅谷Devsecops实施的实施,有一些很好的技巧,有关公司如何开始与DevSecops一起发展其安全性。
最近的一项港口客户beplay官网可以赌调查显示,目前有42%的大型企业组织正在投资此类加速软件交付。我们最近对行业统计数据的分析强调DevSecops的增长。
Aleksandr Krasnov是通过实施DevSecops来帮助公司提高效率并提高安全意识的专家。当他没有帮助确保世界上一些最受欢迎的应用程序时,这位前职业跑步者会喜欢为家人做饭,并参加艰难的泥泞。他也是一个虫子赏金猎人,特别喜欢捕获旗帜(CTF)挑战。
Aleksandr的第一个提示是知识本身就是力量。您不必在深处直接跳入DevSecops。简单地扫描您的网络庄园beplay体育能用吗,您可以看到安全孔在哪里,并开始优先修复它们。每个人都有这些盲点,但是通过找到它们,您会知道土地的谎言(因此,晚上睡得更好)。
说到这,Aleksandr有一个很大的隐喻。您可以想到您的网络庄园,就像您的房子一样。beplay体育能用吗在晚上上床睡觉之前,您可能会检查门和窗户是否已锁定并固定。如果有一天晚上找到一个窗口损坏的窗户,则可能不会在睡觉前立即修复它(尽管它肯定会进入您的待办事项清单)。但是,如果您从未检查过那个窗口捕获量怎么办?
这是考虑扫描可以在DevSecops中扮演的角色的一种很好的方式。实际上,Portsbeplay官网可以赌wigger的观点是,如果您使用动态(dast)方法,那么它是双重的 - 因为动态扫描或多或少就像在那些门和窗户上嘎嘎作响以寻找漏洞。动态扫描模拟了网络犯罪分子试图打破您的防御能力。
另一个好处动态(DAST)扫描具有(与诸如Interactive(iAST)测试之类的更复杂的方法相对),它的侵入性也少得多。为了扩展房屋的隐喻,用Dast延伸,您不会在睡前就在前门上的锁。您(非常明智地)首先从未拆除它。
Aleksandr曾在许多公司担任DevSecops角色 - 但对他来说,一件事仍然保持不变。他认为Devsecops工程师的角色是使开发人员更轻松 - 压力更轻松的人。如果他正确地完成工作,开发团队将永远不会注意到他。但是他放置的护栏使他们对自己的代码有了更大的信心。
当我们问他,一个启动DevSecops旅程的组织是否应该首先在Devops停留时,Aleksandr的回答是“否”。他是硅谷众所周知的破坏性变化类型的粉丝。但是,即使您的组织尚未为此做好准备,您也可以采取渐进步骤,朝着失败风险的风险迈进。
将您的第一次扫描视为MVP(最低可行产品)的方法DevSecops安全。这是您可以建立的基础;它不需要花费地球。Burp Suite Enterprise Edition的透明定价在那里让您对此充满信心。企业版与手动测试通过Burp Suite专业人士,并且能够随着视野扩展而与您进行扩展。
DevSecops的这种具有成本效益的介绍的巨大好处是,由于其提供的清晰ROI,它使您的组织的高管更容易购买。这将有助于在DevSecops实施的后期阶段,在这种实施中,通常需要更具破坏性的变化。此阶段的破坏性意味着买入是关键。
这种磁性不仅限于高管。由于DevSecops使发展效率更高,同时提高安全意识,因此这对每个人来说都是双赢的情况。这吸引了追随者。实施MVP后,您会发现将DevSecops人才带入团队更容易。
因此 - 首先按大规模扫描您的网络庄园。beplay体育能用吗那些窗户碰到。这将向您显示漏洞所在的位置,因此您可以开始为它们确定修复程序的优先级。每个网络应用beplay体育能用吗都有这些漏洞 - 只是找到它们的问题。通过定期扫描您的庄园,您将开始看到许多流程:
服用Burp Suite Enterprise Edition的审判为了使此操作快速。我们的团队正在等待建议您 -告诉我们如何提供帮助。
