DevSecOps资讯汇编 第五期

DevSecOps资讯汇编

第五期 2019年11月13日

• DevOps KPI — Chapter 3 — MTTD and MTBF | DevOps KPI

  • 该系列文章主要介绍了在devops过程中采用的一些指标，在目前安全行业的背景下，确实需要一些结果性的指标能让安全工作的效果从迷雾中显示出来。 本文可能能为指标的设计提供一些参考。

• OWASP AppSec Pipeline | OWASP 应用安全管道

  • 结合了devops和lean的原理，提出的一套应用安全管道的方案（模板）。重点对安全人员这项资源进行了优化

• Why Test Automation Is Not Continuous Testing | 为什么测试自动化不是连续测试

  • 本章探讨了软件测试的发展趋势，我认为这个趋势与目前的安全测试的趋势保持一致，需要自动化、需要更加高效，需要持续性的测试。

• Nexus Repo and Datree Integration Deliver Automated Pipeline Control | Nexus Repo和Datree集成提供了自动化的管道控制

  • 通过nexus repo和datree的结合，对应用引用的第三方包进行控制。

• Ask the Experts: How has software security improved in the last few years? | 最近几年软件安全性如何改进？

  • 文章主要介绍了以下几个方面：
    1. 哪些技术对软件安全产生影响
    2. devsecops对软件安全性的影响
    3. 面向工具和解决方案（工程）的软件安全趋势
    4. 云+合规性
    5. 软件安全性和硬件安全性
    6. GDPR对网络安全的影响
    7. 软件安全培训

• Primer: What Is Container Security? | 什么是容器安全

  • 文章介绍容器面对的一些安全威胁以及在使用容器过程中面对的一些安全风险。

• Everything You Ever Wanted To Know About Test-Case Reduction, But Didn’t Know to Ask |关于减少测试用例的一些

  • 了解还原的工作原理有助于进行故障排除，并使其更容易找出有效的工作流程和最佳工具来优化测试。我们将说明为什么减少测试用例对于安全工程师来说是一个特别重要的主题，并介绍DeepState的最新缩减器。 类似的思路我认为可能同样适用于安全测试，优化测试效率。

• All Day DevOps

  • 奉行纯技术交流，会有很多的分享，推荐关注。

• Top 5 Methods for Implementing Automated Security Testing in Continuous Delivery Cycle | 在连续交付周期中实施自动化安全测试的五种方法

  • 文章有点老了，不过看到以后还是决定收录进来。文章提出的五种方法，不是从技术角度的，更多的是管理和协作的角度。

Collected By Alkaid
PS： 目前国内的消息源有限，如果有相应方面（SDLC、自动化、DevSecOps、威胁建模）的文章，可以邮件alkaid.guang@gmail.com ，谢谢