记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

美国家安全局如何构建DevSecOps开发环境?

对于高度关注安全的企业而言,特别是希望在快速开发的过程中(例如推行DevOps等敏捷框架)保障安全的企业,美国国家安全局(NSA)给出了一条重要“指示”:多测试,慢一点,只有稳扎稳打,开发人员才会真正迸发出能量。国安局DevX团队的DevOps管道技术负责人Eric Mosher在上周虚拟GitLab Commit大会上分享,从2018年开始,国安局启动了全新项目,旨在为内部开发人员提供更好的开发环境支持,合并多个源代码库实例。虽然作为秘密政府机构,国安局必须在大型隔离网络内工作,但其DevX团队仍然立足AWS开发出“高度可用、具备弹性且可扩展的业务架构”。
发布时间:2020-09-03 15:39 | 阅读:5912 | 评论:0 | 标签:安全 DevSecOps

本文将以OPPO安全应对行业挑战所作出的实践为例,重点介绍OPPO互联网DevSecOps实践,更准确的说是从传统SDL到...

文/沈海涛前言伴随着移动互联网技术的高速发展,如何保障产品的安全与隐私合规成为了一个严峻的挑战。尤其是在产品复杂度高、更新迭代快的现状下,如何应对挑战,已经成为了企业发展必须要慎重考虑的问题。以OPPO为例,OPPO仅ColorOS全球月活用户数就达到了3.7亿+。产品形态覆盖 Web APP、Android APP、 iOS APP、快应用、SDK、IoT等,日变更1000+次。本文将以OPPO安全应对行业挑战所作出的实践为例,重点介绍OPPO互联网DevSecOps实践,更准确的说是从传统SDL到DevSecOps转型的实践。
发布时间:2020-08-27 02:25 | 阅读:12040 | 评论:0 | 标签:安全 DevSecOps

软件安全测试:安全左移的痛点与要点

软件开发安全,是网络安全行业近年想积极探索的技术领域,虽然这个技术领域已经存在了将近20年时间,但是直到2020年2月的RSAC大会,开发安全才真正成为网络安全行业的关注热点。同样,2019年12月1日正式实施的《网络安全等级保护条例2.0版》也给软件开发安全领域注入了一针“强心剂”,业界和政策对“安全左移”和DevSecOps的空前重视让无数网络安全从业者看到了新的机会。笔者团队通过对软件开发安全的认知和对软件安全测试的摸索,并结合行业主流的软件安全测试技术进行了实践。本文根据笔者团队的实践经验为大家分析有关软件安全测试的实践收获。韩敏现任国网思极检测技术(北京)有限公司执行董事、总经理。
发布时间:2020-08-05 19:53 | 阅读:12795 | 评论:0 | 标签:术有专攻 首页动态 DevSecOps 软件安全测试 软件开发安全

从SDL到DevSecOps:始终贯穿开发生命周期的安全

最近参与了《研发运营一体化(DevOps)能力成熟度模型》等标准安全部分制定,以及在内部做了一次分享,趁着分享之后聊聊自己对对研发安全以及DevSecOps的理解和实践尝试。 随着云计算被普遍运用,微服务等基础架构的成熟,同时企业业务高速发展带来的对开发运维更高效的要求,企业开发运维模型也从传统的瀑布模型演变到敏捷模型再到DevOps,而安全模型也随之改变,但其核心一直都是贯穿始终以及更前置的安全。其中“DevSecOps”是Gartner在2012年也提出的DevOps模式下的安全概念,人人为安全负责,让业务、技术和安全协同工作以生产更安全的产品。
发布时间:2020-06-11 14:45 | 阅读:19444 | 评论:0 | 标签:脉搏文库 DevSecOps IPDRR S-SDLC SDL SDLC STRIDE 威胁建模 威胁防御 安全前置

安全开发如何“无痛分娩”?

作者:默安科技发哥一、某“爆款”视频会议软件的市场滑铁卢2020年初,一场突如其来的疫情,使得某知名视频会议系统日活用户从1000万飙升至2亿,资本市场对其一度看好。可好景不长,由于系统被曝出严重的隐私和安全问题,股价随之受挫,商业信誉严重受损,还被诸多政府机构、高科技公司禁用。该视频会议软件的安全事件归根结底是开发安全没做到位,相信其安全团队和开发部门肯定因此经历了很多个不眠之夜。其实早在2004年,微软就提出了SDL,强调安全要在早期开发过程介入,从根本上管控应用安全。在2020年的RSA大会上,专注于将安全集成到DevOps流程中的DevSecOps,更是大放异彩。
发布时间:2020-04-17 20:07 | 阅读:26287 | 评论:0 | 标签:术有专攻 首页动态 DevSecOps 安全开发

从RSAC看DevSecOps的进化与落地思考

引言 2020年RSA Conference于2月24日至28日在美国旧金山如期召开,今年的会议主题为“Human Element”,人为因素被认为是影响未来网络安全发展最深远的主题。基于参会人员的关注热度,RSAC发布了2020年网络安全行业十大趋势,DevSecOps再次成为大家关注的焦点之一。其中,有着“全球网络安全风向标”之称的RSA创新沙盒,进入十强的安全厂商中近半数聚焦在应用安全领域,BluBracket和ForAllSecure就是今年DevSecOps领域的创新厂商代表。
发布时间:2020-03-03 10:36 | 阅读:32155 | 评论:0 | 标签:观点 DevOps DevSecOps RSAC

【牛人访谈】RSA大会DevSecOps落地实践的观察与思考

受访者:悬镜创始人 子芽2020年RSA Conference于2月24日至28日在美国旧金山如期召开,今年的会议主题为“Human Element”,人为因素被认为是影响未来网络安全发展最深远的主题。基于参会人员的关注热度,RSAC发布了2020年网络安全行业十大趋势,DevSecOps再次成为大家关注的焦点之一。有着“全球网络安全风向标”之称的RSA创新沙盒,进入十强的安全厂商中近半数聚焦在应用安全领域,BluBracket和ForAllSecure就是今年DevSecOps领域的创新厂商代表。
发布时间:2020-03-03 08:58 | 阅读:30671 | 评论:0 | 标签:牛人访谈 DevSecOps 子芽 悬镜创始人

从RSAC2020热点DevSecOps,看上海控安自动化安全漏洞扫描工具

作为网络安全行业风向标的RSAC大会于美国时间2月24日至28日在旧金山如期召开。基于参会人的关注热度,RSAC发布《RSAC 2020趋势报告》,其中DevSecOps相关内容再次成为大家关注的焦点之一。在RSAC2020创新沙盒大赛上,十家初创公司中有半数企业聚焦应用安全,可以见得DevSecOps落地已成为大趋势。
发布时间:2020-03-02 19:42 | 阅读:30569 | 评论:0 | 标签:厂商供稿 DevSecOps 上海控安 漏洞扫描 扫描 漏洞 自动化

国内落地实践 | RSA2020创新沙盒备受关注之DevSecOps

2020年RSA大会于2月24日至28日在美国旧金山召开。有着“全球网络安全风向标”之称的RSA创新沙盒中,入列十强的创新型安全厂商中,不乏聚焦在应用安全领域的身影,与开发安全相关的厂商BluBracket和ForAllSecure,都将更好地帮助用户落地DevSecOps作为自己产品的核心价值之一。据悉,RSAC2020组委会收到的2400 份世界网络安全专家提交的演讲申请,根据申请者提交议题的汇总整理和分析,发布2020年网络安全行业10个趋势,“实现产品设计、开发和运营的安全”作为第二热门的趋势,仅次于作为大会主题的“人为因素”。
发布时间:2020-03-02 19:42 | 阅读:29025 | 评论:0 | 标签:厂商供稿 DevSecOps

浅谈企业 DevSecOps 实践: 安全在 DevOps 中的角色

系列文章(1):浅谈企业 DevSecOps 实践:基本原则系列文章(2):浅谈企业 DevSecOps 实践:安全如何与研发协同工作系列文章(3):浅谈企业 DevSecOps 实践:安全测试集成系列文章(4):浅谈企业 DevSecOps 实践:构建安全工具链系列文章(5):浅谈企业 DevSecOps 实践:安全计划正如前面提到的,DevOps 并不完全是工具和技术,但它的成功很大程度上取决于人们在这个模型中的工作方式。 我们已经对工具和流程进行了详细的介绍,并且从安全从业者与 DevOps 合作的角度探讨了大部分内容。
发布时间:2019-11-06 13:10 | 阅读:37181 | 评论:0 | 标签:Web安全 业务安全 系统安全 DevSecOps

浅谈企业 DevSecOps 实践: 安全计划

系列文章(1):浅谈企业 DevSecOps 实践:基本原则系列文章(2):浅谈企业 DevSecOps 实践:安全如何与研发协同工作系列文章(3):浅谈企业 DevSecOps 实践: 安全测试集成系列文章(4):浅谈企业 DevSecOps 实践: 构建安全工具链本文旨在帮助安全人员为应用程序安全程序创建一个大纲或结构。
发布时间:2019-11-01 13:10 | 阅读:39868 | 评论:0 | 标签:Web安全 业务安全 系统安全 DevSecOps

浅谈企业 DevSecOps 实践: 构建安全工具链

系列文章(1):浅谈企业 DevSecOps 实践:基本原则系列文章(2):浅谈企业 DevSecOps 实践:安全如何与研发协同工作系列文章(3):浅谈企业 DevSecOps 实践: 安全测试集成在本文中,我们将向 你展示如何在 你的 DevOps 自动化框架中集成安全性。 我们将要解决的问题是“我们希望将安全测试集成到开发管道中,并将从静态分析开始。
发布时间:2019-10-30 13:10 | 阅读:42492 | 评论:0 | 标签:Web安全 业务安全 系统安全 DevSecOps

浅谈企业 DevSecOps 实践: 安全测试集成

系列文章(1):浅谈企业 DevSecOps 实践:基本原则系列文章(2):浅谈企业 DevSecOps 实践: 安全测试集成 在本文中,我们将向你展示如何在你的 DevOps 自动化框架中集成安全性。我们将要解决的问题是“我们希望将安全测试集成到开发管道中,并将从静态分析开始。我们该怎么做? ”、“我们理解“左移” ,但这些工具有效吗? ”以及“ 你建议我们从哪些工具开始,以及如何集成这些工具? 。由于 DevOps 鼓励在开发和部署的所有阶段进行测试,我们将讨论构建的管道会是什么样,以及适合不同阶段的工具。安全测试通常与质量保证团队可能已经部署的功能测试和回归测试并列。
发布时间:2019-10-25 13:10 | 阅读:36819 | 评论:0 | 标签:Web安全 安全工具 移动安全 系统安全 DevSecOps

浅谈企业 DevSecOps 实践:安全如何与研发协同工作

考虑到 DevOps 对于大多数读者来说是全新的概念,所以在第一篇文章中我们分享了一个关于基本原则的讨论,以及 DevOps 是如何帮助解决软件交付中常见的许多问题的。你可以在上篇文章中找到你想要了解的更详细的背景资料。出于本文的目的,我们将讨论一些与安全团队集成和使用 DevOps 原则进行安全测试直接相关的原则。 这些概念为解决我们在第一部分中提出的问题奠定了基础,在我们讨论 DevOps 环境中的安全工具和方法时,读者需要理解这些概念。DevOps 与安全构建安全性构建安全性,听起来是一个可怕的事实,但是在代码开发过程中广泛使用应用程序安全性技术,相对来说还是较新的事情。
发布时间:2019-10-22 13:10 | 阅读:43488 | 评论:0 | 标签:Web安全 安全工具 系统安全 DevSecOps

浅谈企业 DevSecOps 实践:基本原则

Devops 是一个操作框架,通过自动化来促进软件的一致性和标准化。 通过打破不同开发团队之间的障碍,同时通过优先考虑使软件开发更快更容易的事情,该框架帮助解决了围绕集成、测试、修补和部署的许多噩梦般的开发问题。DevSecOps是将安全团队和安全工具直接集成到软件开发生命周期中,利用 DevOps 的自动化和效率,确保每个构建周期都进行应用程序安全测试。 这促进了安全性、一致性,并确保安全性与其他质量指标或特性同样重要。 自动化的安全性测试,就像自动化的应用程序构建和部署一样,必须与基础设施的其余部分一起组装。但这就是问题所在。 软件开发人员传统上并不支持安全性。
发布时间:2019-10-17 13:10 | 阅读:49243 | 评论:0 | 标签:Web安全 业务安全 安全工具 系统安全 DevSecOps

【RSA2018】实现DevSecOps“黄金管道”的五大关键安全环节

阅读: 13今年的RSA大会上出现了一个热词“Golden Pipeline(黄金管道)”,特指一套通过稳定的、可预期的、安全的方式自动化地进行应用持续集成/部署的软件流水线(toolchain),其为DevSecOps提供了一种便于理解和落地的实现方式。其中包括了五大关键安全活动:运行时应用自我保护、“金门”、应用安全测试、第三方代码库扫描,以及Bug悬赏。相关阅读:【RSA2018】Future Ops——网络运维与安全运维趋向融合伴随着RSA2018的开幕,热炒了接近一年的DevSecOps似乎并没有受到Alcatraz岛四周凄冷海风的影响而有有丝毫降温的迹象。
发布时间:2018-04-20 20:20 | 阅读:160763 | 评论:0 | 标签:技术前沿 DevSecOps rsa2018 安全运维

【RSA2018】云安全 | IaaS PaaS SaaS新趋势

阅读: 33RSA2018大会中,云安全仍是重点议题。我们看到诸如容器安全和DevSecOps等新兴技术的蓬勃发展,我们需要思考如何优化混合云的安全管理和业务编排,以及如何通过云中的应急响应流程来保证云业务系统的安全。
发布时间:2018-04-19 20:15 | 阅读:198772 | 评论:0 | 标签:技术前沿 DevSecOps rsa 云安全 rsa2018 云安全 云计算安全 容器安全

Gartner 2017调研报告:DevSecOps应当做好的十件事(上)

背景介绍 惨痛的教训告诉我们:DevSecOps很重要! 对于很多企业而言,云和DevOps是推动企业业务发展的关键的技术引擎。企业的IT、安全和开发人员都知道在云和DevOps环境中,有大量的敏感信息(如密钥和凭据)需要保护。尽管大部分人都有安全方面的意识,但我们仍能看到诸多的数据泄漏事件。 以最近发生的Uber数据泄露事件为例: “11月22日,Uber发布声明,承认2016年曾遭黑客攻击并导致数据大规模泄露。根据这份声明,两名黑客通过第三方云服务对Uber实施了攻击,获取了5700万名用户数据,包括司机的姓名和驾照号码,用户的姓名、邮箱和手机号。
发布时间:2017-12-02 08:35 | 阅读:179884 | 评论:0 | 标签:安全报告 DevOps DevSecOps Gartner 调研报告 企业安全 最佳实践

RSA2017浅谈下一代应用及IT基础设施的安全管理模式——DevSecOps

阅读: 461DevSecOps是2017年美国RSA大会新出现的一个概念,大会甚至专门为这个概念和方向设置的议题和讨论会。DecSecOps是一种全新的安全理念与模式,从DecOps的概念延伸和演变而来,其核心理念安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发和运营整个业务生命周期每一个环节才能提供有效保障。
发布时间:2017-02-24 01:30 | 阅读:280359 | 评论:0 | 标签:技术分享 DevSecOps DevSecOps 内容 DevSecOps 应用 DevSecOps 核心理念 RSA2

ADS

标签云