• <samp id="8y0c8"></samp>
  • <samp id="8y0c8"><object id="8y0c8"></object></samp>
  • <menu id="8y0c8"></menu>
    <menu id="8y0c8"></menu>
    首頁|滾動|國內|國際|運營|制造|監管|原創|業務|技術|報告|測試|博客|特約記者
    手機|互聯網|IT|5G|光通信|LTE|云計算|芯片|電源|虛擬運營商|移動互聯網|會展
    首頁 >> 技術 >> 正文

    新思科技強調軟件安全是數字化轉型的“剛需” DevSecOps可幫助企業走出“安全孤島”

    2021年12月1日 15:24  CCTIME飛象網  

    最新《中國DevOps現狀調查報告(2021年)》顯示

    新思科技Coverity在安全工具市場占比最高,達32.74%

    飛象網訊 我們正走向萬物互聯的時代,產業數字化轉型是當下及未來的必經之路,這一切都離不開軟件的驅動。安全是成功數字化轉型的前提。在數字化轉型過程中,原來相互隔離的信息化系統已無法滿足需求,傳統的安全防護方式可能不足以應對更加開放、多元的應用場景,一旦發生攻擊,企業將承擔巨大損失。因此,可以說軟件安全在很大程度上影響數字化轉型的速度和質量。

    由于新技術不斷涌現及其應用日趨成熟,軟件開發模式發生改變,DevOps 快速興起,并緊隨安全“左移”被廣泛認可,DevSecOps 已經成為很多企業數字化轉型過程中應用安全的基礎保障。這不僅有利于企業更快速、更安全地將產品上市,也加速了社會數字經濟的發展。

    新思科技一直致力于幫助企業更快速地構建安全、優質的軟件,在推動DevSecOps落地方面有豐富經驗。新思科技強調引入DevSecOps可以從源頭及時治理安全問題,走出“安全孤島”。但是隨著網絡環境與黑客攻擊方式越來越復雜、企業文化鴻溝以及高效工具缺失等問題,落地DevSecOps對于現代IT企業來說是一件很棘手的工作。

    新思科技軟件質量與安全部門高級安全架構師楊國梁表示:“DevSecOps不止是一套工具,而是融合開發、安全及運營理念以創建解決方案的系統方法。這需要把人員、流程、技術、工具結合起來,由內到外強化應用,使其能夠靈活防御各種潛在威脅。新思科技通過實際經驗總結出一些建議,助力企業更高效地落地DevSecOps,進而推動產業數字化轉型,更快地邁上高質量發展之路!

    培養 DevSecOps 文化和思維,進行安全培訓

    DevSecOps的核心是文化和思維方式。以前,安全防護只是特定團隊的責任,在開發的最后階段才會加入;但是這種做法現在已經行不通了。DevSecOps要求

    通過專業培訓在企業內部全面建立起安全意識與安全保障機制。有些企業會有一種誤區,覺得開發人員可以滿足整個軟件開發生命周期(SDLC)中的任何安全需求,或者開發人員可以自學這些安全知識。

    楊國梁介紹道:“自學可能適用于少數開發人員,但是需要多長時間以及評估指標是什么很難界定,尤其是DevSecOps還沒有在真正意義上普及起來。企業更需要安全專家提供培訓,以幫助他們與時俱進。新思科技可以提供安全發展計劃和培訓、CI/CD 戰略與規劃及云安全評估等,推動企業循序漸進地部署DevSecOps!

    企業可以將DevSecOps文化融入日常職能,平衡安全、速度和規模。如果內部某一團隊有效實施了DevSecOps,并從中獲益,那他們可以成為其他團隊的范例,復制成功。

    整合自動化工具,內置安全

    云計算開源產業聯盟近期發布的《中國DevOps現狀調查報告(2021年)》顯示,五成以上的受訪企業嘗試實踐DevSecOps。而且,源代碼靜態安全檢測、容器鏡像安全掃描以及Web應用防火墻成為企業應用最廣泛的DevSecOps實踐。

    楊國梁說:“報告指出Coverity靜態應用安全測試(SAST)是企業應用最為廣泛的四種安全工具之一,并且占比最高,達32.74%。這證明了新思科技的靜態分析解決方案已經受到中國市場的充分認可!

    憑借Coverity,企業可以實現大規模靜態分析自動化,幫助開發和安全團隊在SDLC早期解決安全和質量缺陷,跟蹤和管理整個應用組合的風險,并確保符合安全和編碼標準。此外,新思科技還提供Black Duck軟件組成分析(SCA)、Seeker交互式應用安全測試(IAST) 以及API 安全測試等工具,在軟件中內置安全,并貫穿整個SDLC。

    將安全漏洞視為軟件缺陷,適時評估安全計劃成果

    安全漏洞的報告方式通常不同于質量和功能缺陷。通常,企業在兩個不同的位置維護兩種類型的結果——安全和質量。這降低了每個團隊和相關人員在查看項目的整體安全狀況時的可見性。在同一處維護安全和質量有助于團隊以相同的方式和優先級處理這兩種類型的問題。

    在企業部署工具發現質量和安全問題并進行修復后,要如何評估安全計劃的整體成果,以持續推進DevSecOps呢?企業需要一把標尺。

    新思科技軟件安全構建成熟度模型(BSIMM) 是一種基準工具,通過數據驅動的客觀方式展示當前軟件安全性活動的概況。與規定性模型不同,描述性模型BSIMM實際相當于一個行業報告,企業可以參照其中的數據來定位自己的坐標,考核軟件安全計劃大致在一個什么水準,是否需要做改進和進一步提升等等。企業可以憑借這把標尺決定哪些額外安全活動對支持其整體DevSecOps戰略有意義,并且有針對性地制定下一步計劃。

    楊國梁總結道:“軟件安全是數字化轉型的‘剛需’,DevSecOps可將安全防護融入整個SDLC,充分發會DevOps的敏捷性和響應力。當然,落地DevSecOps不會一蹴而就,需要一套整體的規劃,覆蓋人員、技術、流程、評估等。因此,軟件開發需要聯動安全開發與業務、運維等,將安全開發作為企業文化延伸到各個部門。新思科技一直強調安全測試應盡可能在 SDLC 的最左側(即最早期)開始,即安全‘左移’。防患未然,才能為DevSecOps順利落地保駕護航!

    編 輯:章芳
    聲明:刊載本文目的在于傳播更多行業信息,本站只提供參考并不構成任何投資及應用建議。如網站內容涉及作品版權和其它問題,請在30日內與本網聯系,我們將在第一時間刪除內容。本站聯系電話為86-010-87765777,郵件后綴為#cctime.com,冒充本站員工以任何其他聯系方式,進行的“內容核實”、“商務聯系”等行為,均不能代表本站。本站擁有對此聲明的最終解釋權。
    相關新聞              
     
    人物
    長飛總裁莊丹:光纖光纜行業邁入第三輪增長周期
    精彩專題
    專題報道丨2020年世界電信和信息社會日
    專題報道丨山至高處人為峰,中國5G信號覆蓋珠穆朗瑪
    專題報道丨助力武漢"戰疫",共鑄堅強后盾
    2019年信息通信產業盤點暨頒獎禮
    CCTIME推薦
    關于我們 | 廣告報價 | 聯系我們 | 隱私聲明 | 本站地圖
    CCTIME飛象網 CopyRight © 2007-2021 By CCTIME.COM
    京ICP備08004280號-1  電信與信息服務業務經營許可證080234號 京公網安備110105000771號
    公司名稱: 北京飛象互動文化傳媒有限公司
    未經書面許可,禁止轉載、摘編、復制、鏡像
    一级黄片免费看
  • <samp id="8y0c8"></samp>
  • <samp id="8y0c8"><object id="8y0c8"></object></samp>
  • <menu id="8y0c8"></menu>
    <menu id="8y0c8"></menu>