实施 DevSecOps 最佳实践
DevSecOps 是一个框架,它将开发 (Dev)、IT 运营 (Ops) 和安全 (Sec) 流程的实践融合到一个简化的流程中。使用这种方法,DevSecOps 团队能够确保将安全性集成到软件开发生命周期中,确保以“安全第一”的心态构建、部署和维护软件。在本教程中,我们深入研究在开发过程的每个阶段实施 DevSecOps 和安全措施的最佳实践。
什么是 DevSecOps ?
DevSecOps 从DevOps 方法论发展而来,旨在打破开发人员和运营团队之间的孤岛和沟通障碍,以便可以更快、更可靠地创建软件。DevSecOps 通过整合安全团队并强调每个利益相关者之间的协作来补充 DevOps 的核心原则。
随着网络安全威胁不断发展并变得更加普遍,DevSecOps变得越来越受欢迎,因为组织寻求减轻这些恶意行为者的影响。公司越来越依赖 DevSecOps 的部分原因是传统的安全措施(例如偶尔的审计和静态分析过程)无法再保护软件架构。DevSecOps 通过实施自动化测试、应用程序性能监控和持续集成来取代这些传统的安全实践。
DevSecOps 的原则是什么?
在我们讨论实施 DevSecOps 的最佳实践之前,我们需要了解DevSecOps 的核心原则。他们包括:
自动化: DevSecOps 专业人员使用自动化来消除容易出现人为错误的手动任务。这些自动化以安全检查、扫描、监控、日志记录和多种类型的测试的形式出现,每一项都集成到开发、构建和部署管道中。
持续集成/持续部署: CI/CD 管道自动构建、测试和部署生产环境的代码更改。DevSecOps 通过在管道的每个阶段合并安全检查,为 CI/CD 管道又增加了一步。
协作: DevSecOps 强调开发、运营和安全团队之间的协作。这是最重要的 DevSecOps 原则之一。
左移安全性:左移安全性是指“左移”的理念。这意味着必须在 SDLC 中尽早解决安全问题。这一原则的好处是,它允许团队在安全和代码集成问题变得更大或导致产品不可靠之前发现并修复它们。
实施 DevSecOps 的最佳实践
以下是实施 DevSecOps 的一些最佳实践,包括:
※ 将安全性集成到 DevOps 管道中
※ 采用基础设施即代码
※ 合并自动化安全测试
※ 扫描容器是否存在漏洞
※ 持续监控应用程序
※ 定义安全策略
※ 利用基于角色的访问控制
※ 安全实践培训
※ 进行威胁建模
※ 保护第三方库的安全
※ 安全的测试环境
※ 文件和合规报告
※ 实施安全编排和自动化
※ 将安全性集成到 DevOps 管道中
DevSecOps 实践的核心是从一开始就将安全工具和最佳实践直接集成到 CI/CD 管道中。这涉及在自动化管道内创建代码质量和代码集成的安全检查、漏洞扫描和合规性测试。这使得安全性成为 SDLC 每个阶段的一个持续过程。
采用基础设施即代码
基础设施即代码是一种可用于使用代码定义和管理基础设施配置的方法。采用此最佳实践可帮助您确保从一开始就安全地调配和配置基础设施。实现此目的的一种方法是使用 Terraform 和 AWS CloudFormation 等 IaC 工具,这使得维护基础设施的一致性和安全性变得更加容易。
实施自动化安全测试
自动化安全测试可帮助团队识别开发每个阶段的代码和应用程序中的任何漏洞。以这种方式实现安全性的最佳实践是自动执行静态代码分析、动态应用程序安全测试(也称为 DAST)、交互式应用程序安全测试 (IAST) 和单元测试。OWASP ZAP 和 Fortify 等 DevOps 自动化工具可用于收集性能数据并深入了解任何安全问题。
扫描容器是否存在漏洞
随着容器化在软件开发组织中越来越流行,您需要确保在部署容器映像之前对其进行安全漏洞扫描。Docker 安全扫描是一种流行的工具,可用于识别和修复容器映像漏洞。您还需要将安全最佳实践纳入容器编排平台,例如 Kubernetes。
持续监控应用程序
为了检测和响应安全威胁,DevSecOps 专业人员需要对软件和基础设施使用持续监控实践。DevOps 监控和警报工具可以识别任何奇怪的行为或可能的漏洞。一旦检测到,您可以通过事件响应计划进行响应,以减轻任何威胁。
定义安全策略
将安全合规性策略定义为代码 - 并使用自动化工具来帮助执行它们 - 有助于确保软件和基础设施遵守安全性和合规性标准和法规。尤其是,Chef Compliance 是一个很棒的工具,可用于执行自动安全合规性检查。
利用基于角色的访问控制
另一个可能被忽视的 DevSecOps 最佳实践是基于角色的访问控制的实施,它规定哪些用户有权访问特定的资源和数据。一般来说,您需要确保所有用户根据其角色拥有所需的最低权限级别。考虑谁需要访问任何系统以及为什么需要访问任何系统,并相应地分配权限。然后,制定计划定期检查和更新权限,以减少未经授权的访问和数据泄露。
安全实践培训
确保每个团队成员和主要利益相关者都接受安全最佳实践培训,是确保通过 SDLC 实施安全的重要一步。在适当的情况下,对团队成员进行安全编码策略、常见安全威胁以及可用于响应任何安全事件的方法的培训。使其成为一种理念,即团队将安全视为共同责任,而不仅仅是安全团队的责任。
进行威胁建模
进行威胁建模练习可以帮助您识别应用程序和支持基础设施中的潜在安全威胁和漏洞。在设计阶段采取积极主动的方法解决安全问题,这样您就可以从一开始就防止出现安全问题。
保护第三方库的安全
大多数软件和基础设施都使用第三方库、插件和组件。不要忽视这些或认为它们是安全的。对第三方附加组件和库进行定期更新和补丁修复,并使用依赖项扫描工具查找和修复第三方解决方案中的漏洞。
安全测试环境
创建反映生产环境的单独测试环境非常重要,以便进行模拟真实场景的安全测试。这是关键,因为它可以帮助您识别在开发和暂存环境中可能不那么明显的漏洞。
文件和合规报告
所有安全策略、流程、配置、工作流程和程序都需要记录下来。应定期进行合规性检查和报告,以确保安全控制到位。这些报告对于审计和法规遵从是必要的,因此请务必将其作为常规流程。
实施安全编排和自动化
最后,在管道中实施安全编排和自动化,以简化事件响应流程。自动化事件响应可以更有效地遏制和减轻安全风险和事件,从而减少影响。
DevSecOps 挑战
DevSecOps 为组织提供了许多好处,但它也存在挑战和风险,其中包括:
文化转变:与任何方法或框架一样,实施 DevSecOps 可能需要组织进行文化转变。团队需要采用协作、沟通和创建新流程和工作流程的方法,所有这些都可能具有挑战性。
工具:您的团队将需要整合许多新的安全和 DevOps 工具,并将它们集成到他们的流程和工作流程中。这可能会导致团队不知所措并感到沮丧——更不用说培训所需的资源了。确保您选择的工具能够与公司已经使用的其他开发人员和项目管理工具集成,以最大限度地减少您的团队需要学习和使用的程序数量。
技能: DevSecOps 需要开发、运营和安全技能。如果计划不当,评估团队的技能、提高他们的技能和雇用新角色可能会是一个复杂的过程。
复杂性:在管道的每个阶段纳入安全性可能很复杂,需要全面了解安全原则。
关于 DevSecOps 最佳实践的最终想法
在本文中,我们了解到 DevSecOps 是一种组织可以采用的方法和框架来快速可靠地构建和部署安全软件。从一开始就将安全性融入到开发过程的每个阶段,使公司能够在软件发布之前主动识别和修复安全漏洞,从而降低安全漏洞的风险并保护数据。
我们还学习了一些 DevSecOps 最佳实践,其中包括自动化安全测试、对团队成员进行安全各个方面的培训以及建立威胁模型。尽管 DevSecOps 实践非常有益,但实施它们也并非没有挑战。
要成功实施,就需要克服文化变革的阻力、团队技能提升和工具不堪重负疲劳。然而,一旦克服了这些障碍,您的公司将大大受益于更高质量的软件、更快的开发和发布周期以及更安全的产品。
相关文章:
实施 DevSecOps 最佳实践
DevSecOps 是一个框架,它将开发 (Dev)、IT 运营 (Ops) 和安全 (Sec) 流程的实践融合到一个简化的流程中。使用这种方法,DevSecOps 团队能够确保将安全性集成到软件开发生命周期中,确保以“安全第一”的心态构建、部署和维护软件。在本教程中&…...
第56节——redux-toolkit中的createAction——了解
一、概念 createAction 是一个用于创建 Redux action creator 的函数,它可以让你更快地编写 Redux 相关的代码,并且更加易于阅读和维护。 二、简单示例 使用 createAction,你只需要传入一个字符串类型的 action type,然后它会返…...
【数据结构】排序--选择排序(堆排序)
目录 一 堆排序 二 直接选择排序 一 堆排序 堆排序(Heapsort)是指利用堆积树(堆)这种数据结构所设计的一种排序算法,它是选择排序的一种。它是 通过堆来进行选择数据。 需要注意的是排升序要建大堆,排降序建小堆。 直接选择排…...
C# 图解教程 第5版 —— 第2章 C# 和 .NET Core
文章目录 2.1 .NET 框架的背景2.2 为什么选择 .NET Core(和 Xamarin)2.3 .NET Core 的目标2.4 多平台支持2.5 快速发展和升级2.6 程序占用空间小、部署简单、版本问题少2.7 开源社区支持(*)2.8 改进的应用程序性能2.9 全新的开始&…...
数据结构 | Huffman TreeCode
构造参考: 赫夫曼树_关于huffman树,权值相同-CSDN博客 编码参考: 【数据结构与算法】-哈夫曼树(Huffman Tree)与哈夫曼编码_数据结构哈夫曼树编码-CSDN博客...
mysql拼接字符串函数
在MySQL中,可以使用CONCAT()函数来拼接字符串。CONCAT()函数接受一个或多个字符串作为参数,并将它们连接在一起。以下是CONCAT()函数的使用示例: 拼接两个字符串: SELECT CONCAT(Hello, , World); -- 输出: Hello World 拼接列中…...
python基础(5):深入理解 python 中的赋值、引用、拷贝、作用域
python基础(5):深入理解 python 中的赋值、引用、拷贝、作用域 目录 python基础(5):深入理解 python 中的赋值、引用、拷贝、作用域 1、先来看个问题吧: 2、引用 VS 拷贝: 3、增强赋值以及共享引用:...
《动手学深度学习 Pytorch版》 8.6 循环神经网络的简洁实现
import torch from torch import nn from torch.nn import functional as F from d2l import torch as d2lbatch_size, num_steps 32, 35 train_iter, vocab d2l.load_data_time_machine(batch_size, num_steps)8.6.1 定义模型 num_hiddens 256 rnn_layer nn.RNN(len(voca…...
leetcode做题笔记173. 二叉搜索树迭代器
实现一个二叉搜索树迭代器类BSTIterator ,表示一个按中序遍历二叉搜索树(BST)的迭代器: BSTIterator(TreeNode root) 初始化 BSTIterator 类的一个对象。BST 的根节点 root 会作为构造函数的一部分给出。指针应初始化为一个不存在…...
RPA流程自动化的优势和好处
随着科技的发展,RPA机器人自动化过程已成为企业提高效率和降低人力成本的一种有效手段。RPA机器人可以模拟和执行人类操作,通过自动执行重复性和繁琐的任务,让员工能够将更多时间和精力投入到更有价值的工作中。 RPA(Robotic Process Automa…...
搭建 Hadoop 生态集群大数据监控告警平台
目录 一、部署 prometheus 环境 1.1 下载安装包 1.2 解压安装 1.3 修改配置文件 1.3.1 hadoop-env.sh 1.3.2 prometheus_config.yml 1.3.3 zkServer.sh 1.3.4 prometheus_zookeeper.yaml 1.3.5 alertmanager.yml 1.3.6 prometheus.yml 1.3.7 config.yml 1.3.8 t…...
课题学习(七)----粘滑运动的动态算法
一、 粘滑运动的动态算法 在实际钻井过程中,钻柱会出现扭振和粘滑现象(粘滑运动–B站视频连接),但并不总是呈现均匀旋转。如下图所示,提取一段地下数据时,转盘转速保持在100 r/min,钻头转速在0-…...
python二次开发CATIA:测量曲线长度
以下代码是使用Python语言通过win32com库来控制CATIA应用程序的一个示例。主要步骤包括创建一个新的Part文件,然后在其中创建一个新的几何图形集,并在这个集合中创建一个样条线。这个样条线是通过一组给定的坐标点来创建的,这些点被添加到集合…...
从零开始学习调用百度地图网页API:二、初始化地图,鼠标交互创建信息窗口
目录 代码结构headbodyscript 调试 代码 <!DOCTYPE html> <html> <head><meta http-equiv"Content-Type" content"text/html; charsetutf-8" /><meta name"viewport" content"initial-scale1.0, user-scalable…...
Yarn基础入门
文章目录 一、Yarn资源调度器1、架构2、Yarn工作机制3、HDFS、YARN、MR关系4、作业提交之HDFS&MapReduce 二、Yarn调度器和调度算法1、先进先出调度器(FIFO)2、容量调度器(Capacity Scheduler)3、公平调度器(Fair …...
element picker 时间控件,指定区间和指定月份置灰
直接上代码 <el-date-pickerv-model"fillingList.declareDate"type"month":disabled"isDisplayName"placeholder"选择填报时间"value-format"yyyy-MM":picker-options"pickerOptions"change"declareDate…...
thinkphp6
unexpected , expecting case (T_CASE) or default (T_DEFAULT) or } 在模板中应用{switch}{/switch}标签,报错,其实是switch的问题,模板解析后,switch:和第一个case:之间不能有有输出的,一个空格也不行,所以第一个要紧跟着 Thi…...
Android 13.0 USB鼠标右键改成返回键的功能实现
1.概述 在13.0设备定制化开发中,产品有好几个usb口,用来可以连接外设,所以USB鼠标通过usb口来控制设备也是常见的问题,在window系统中,鼠标右键是返回键的功能,可是android原生的系统 鼠标右键不是返回键根据产品开发需要鼠标修改成右键就需要跟代码, 2.USB鼠标右键改…...
超低延时 TCP/UDP IP核
实现以太网协议集当中的ARP、ICMP、UDP以及TCP协议 一、概述 TCP_IP核是公司自主开发的使用FPGA逻辑搭建的用于10G以太网通信IP。该IP能够实现以太网协议集当中的ARP、ICMP、UDP以及TCP协议。支持连接10G/25G以太网PHY,组成高速网络通信系统。该IP上传、下传数据B…...
Python与数据库存储
Python与数据库存储的最佳实践包括以下几个方面的内容: 连接数据库:使用合适的数据库连接库,如sqlite3、psycopg2、pymysql等来连接数据库。创建连接对象并通过该对象获取游标。 import sqlite3# 连接SQLite数据库 conn sqlite3.connect(sam…...
RN操作SQLite数据库的包(sqlite-helper.js)及其使用
先安装 yarn add react-native-sqlite-storagesqlite-helper.js工具包的具体代码 "use strict";var _interopRequireDefaultrequire("babel/runtime/helpers/interopRequireDefault");Object.defineProperty(exports,"__esModule",{value:true…...
软件测试学习(四)自动测试和测试工具、缺陷轰炸、外包测试、计划测试工作、编写和跟踪测试用例
目录 自动测试和测试工具 工具和自动化的好处 测试工具 查看器和监视器 驱动程序 桩 压力和负载工具 干扰注入器和噪声发生器 分析工具 软件测试自动化 宏录制和回放 可编程的宏 完全可编程的自动测试工具 随机测试:猴子和大猩猩 使用测试工具和自动…...
【Rust日报】2023-10-12 论文:利用公共信息评估 Rust 代码库
论文 - 利用公共信息评估 Rust 代码库 作者 Emil Eriksson 是 Lund University 的硕士学生,今年春天发布了其硕士论文 Evaluation of Rust Codebases Using Public Information ,并获得了 electrical engineering 学位。 在论文撰写过程中,Em…...
微信小程序入门
微信小程序介绍 微信小程序是一种轻量级应用程序,可以在微信中直接使用,无需下载和安装。它们基于微信的开发标准和API构建,并且可以实现许多不同的功能,例如娱乐、社交、购物、生活服务等。微信小程序用户仅需点击微信聊天窗口中…...
【RocketMQ系列二】通过docker部署单机RocketMQ
您好,我是码农飞哥(wei158556),感谢您阅读本文,欢迎一键三连哦。 💪🏻 1. Python基础专栏,基础知识一网打尽,9.9元买不了吃亏,买不了上当。 Python从入门到精…...
中缀表达式转后缀表达式
58同城1012笔试第二题 示例1 输入 “exp1 & (exp2|exp3)/!exp4” 输出 “exp1 exp2 exp3| & exp4 !” 思路与代码 这个代码的核心思想是通过栈来处理不同操作符的优先级和括号的嵌套,将中缀表达式转换为后缀表达式,以便更容易进行计算。 …...
Zabbix 使用同一ODBC监控不同版本MySQL
一、ODBC介绍 ODBC是Open Database Connect 即开发数据库互连的简称,它是一个用于访问数据库的统一界面标准。ODBC引入一个公共接口以解决不同数据库潜在的不一致性,从而很好的保证了基于数据库系统的应用程序的相对独立性。ODBC 概念由 Microsoft 开发&…...
Swagger3.0 与spring boot2.7x 整合避免swagger2.0与boot2.7冲突
注释掉2.0引入的俩包 直接引入3.0 <dependency><groupId>io.springfox</groupId><artifactId>springfox-boot-starter</artifactId><version>3.0.0</version></dependency> swagger配置文件粘贴即用哦 import org.springfram…...
【HTML+REACT+ANTD 表格操作】处理(改变)数据,改变DOM
博主:_LJaXi 专栏: React | 前端框架 主要是一些表格DOM操作,数据更换 个人向 HTML <!DOCTYPE html> <html lang"en"> <link> <meta charset"UTF-8" /> <meta name"viewport" con…...
【面试经典150 | 哈希表】最长连续序列
文章目录 写在前面Tag题目来源题目解读解题思路方法一:哈希表 写在最后 写在前面 本专栏专注于分析与讲解【面试经典150】算法,两到三天更新一篇文章,欢迎催更…… 专栏内容以分析题目为主,并附带一些对于本题涉及到的数据结构等内…...