DevSecOps资讯汇编 第六期
DevSecOps资讯汇编
第六期 2019年11月27日
-
Docker Security Fundamentals and Best Practices | Docker安全基础和最佳实践
- 文章总结了docker常见的风险点,1.docker镜像的安全性,在使用镜像相关的技术过程中如何保证安全 2. 访问控制 ,在文末围绕机密性,可用性,完整性,不可抵赖性几个原则提出了最佳实践的几个建议。
-
State of Software Security v10: Top 5 Takeaways for Security Professionals | 给安全专家的五个建议
-
- 应用程序依然不安全,研发团队缺少相关的安全性知识。
-
- 安全问题累积带来的问题,研发团队倾向于修复新增漏洞而不是存量的漏洞
-
- 解决严重程度高的漏洞方面做的较好,但是并没有考虑可利用性因素(笔者认为在对于研发团队而言探讨可利用性因素,可能过于困难,而对安全团队而言,过于浪费时间,不如直接进入修复流程
-
- 更频繁的扫描,收获更好的效果
-
- 不同行业和组织对于软件安全认识存在差异
-
-
Designing a Modern Application Security Program | 设计现代应用安全工程
-
5 Ways Your Organization Benefits from DevSecOps | DevSecOps的五种效益
-
- 尽早的发现漏洞
-
- 使用开源软件更加有信心
-
- 减少资源管理的开销
-
- 提高开发团队的安全意识
-
- 减少风险和法律责任
-
-
Integrating Coverity Scan with GitLab CI | 集成coverity工具到gitlab CI
- 集成到github-ci的一个实例
-
DevSecOps Adoption and the Web Security Myth | DevSecOps接受度和WEB安全神话
- 文章主要分析,为什么devsecops的优点很多,但是企业的高管们确不接受这样的一套方式
-
Why invest in a threat modeling tool | 为什么要投资威胁建模工具
- 主要回答了为什么使用工具,而不是以前的专家直接分析,我个人觉得文章还是相对简单,但是这块的内容比较少,可以了解一下。
Collected By Alkaid
PS: 目前国内的消息源有限,如果有相应方面(SDLC、自动化、DevSecOps、威胁建模)的文章,可以邮件alkaid.guang@gmail.com ,谢谢
以技入道