DevSecOps资讯汇编 第六期

DevSecOps资讯汇编

第六期 2019年11月27日

• Docker Security Fundamentals and Best Practices | Docker安全基础和最佳实践

  • 文章总结了docker常见的风险点，1.docker镜像的安全性，在使用镜像相关的技术过程中如何保证安全 2. 访问控制 ，在文末围绕机密性，可用性，完整性，不可抵赖性几个原则提出了最佳实践的几个建议。

• State of Software Security v10: Top 5 Takeaways for Security Professionals | 给安全专家的五个建议

  • 1. 应用程序依然不安全，研发团队缺少相关的安全性知识。
  • 2. 安全问题累积带来的问题，研发团队倾向于修复新增漏洞而不是存量的漏洞
  • 3. 解决严重程度高的漏洞方面做的较好，但是并没有考虑可利用性因素（笔者认为在对于研发团队而言探讨可利用性因素，可能过于困难，而对安全团队而言，过于浪费时间，不如直接进入修复流程
  • 4. 更频繁的扫描，收获更好的效果
  • 5. 不同行业和组织对于软件安全认识存在差异

• Designing a Modern Application Security Program | 设计现代应用安全工程

• 5 Ways Your Organization Benefits from DevSecOps | DevSecOps的五种效益

  • 1. 尽早的发现漏洞
  • 2. 使用开源软件更加有信心
  • 3. 减少资源管理的开销
  • 4. 提高开发团队的安全意识
  • 5. 减少风险和法律责任

• Integrating Coverity Scan with GitLab CI | 集成coverity工具到gitlab CI

  • 集成到github-ci的一个实例

• DevSecOps Adoption and the Web Security Myth | DevSecOps接受度和WEB安全神话

  • 文章主要分析，为什么devsecops的优点很多，但是企业的高管们确不接受这样的一套方式

• Why invest in a threat modeling tool | 为什么要投资威胁建模工具

  • 主要回答了为什么使用工具，而不是以前的专家直接分析，我个人觉得文章还是相对简单，但是这块的内容比较少，可以了解一下。

• HOW TO BUILD A DEVSECOPS CULTURE | 怎么去建立DevSecOps文化

Collected By Alkaid
PS： 目前国内的消息源有限，如果有相应方面（SDLC、自动化、DevSecOps、威胁建模）的文章，可以邮件alkaid.guang@gmail.com ，谢谢