DevSecOps资讯汇编 第九期

DevSecOps资讯汇编

第九期

DevSecOps

• DevSecOps生死抉择：自动化应用安全测试工具

  • 文章总结了目前devsecops的关注点，安全测试工具和安全控制过程能够很好的适应开发人员，而不是背道而驰。同时总结一些遇到的瓶颈：
    • 应用安全测试在CI/CD软件开发周期中的集成点
    • SAST 因效率差、误报率高无法敏捷的融入到 DevOps 中
    • DAST因适应场景有限及严重影响正常业务功能测试而无法融入到DevOps中
    • 被动型IAST是DevSecOps测试阶段实现自动化安全测试的最佳工具

• 如何构建应用安全全生命周期解决方案——【DevSecOps】

  • 总结了一些DevSecOps实施的方向性建议以及遇到的一些困难

• 高效的安全，对企业践行DevSecOps的5条建议

  • 五条建议如下：
    1. 自动化
    2. 检测代码依赖包
    3. 不要贪多
    4. 选择合适的工具
    5. 开发人员安全编码培训

• Now Is the Time to Focus on API Security | 是时候关注API安全

  • 云服务的进一步推广，引发的server less潮流更多注意力开始集中在点上例如应用安全，api安全，该文章例举了部分证据以说明当下的安全产业趋势
    1. API数据泄露可能占未来几个月丢失记录的50％以上，并成为大规模黑客入侵的最大单一媒介
    2. 影子API（理解为管理之外的api，无法知道属于谁，开放状况）继续作为对云优先的企业的新威胁而出现
    3. 无服务器继续超过Kubernetes和容器使用率
    4. CCPA成立第一年的罚款将超过2亿美元

• Problems With Sharing Responsibility for Security | 共同承担安全责任的问题

  • 文章讨论了企业中不同群体对于安全责任鉴定的看法和比例，文章同时也提到了，在没有KPI支撑的情况下，开发人员只能隐约负责解决安全问题。

• Problems With Sharing Responsibility for Security | 共同承担安全责任的问题

  • 文章讨论了企业中不同群体对于安全责任鉴定的看法和比例，文章同时也提到了，在没有KPI支撑的情况下，开发人员只能隐约负责解决安全问题。

• Defining the Journey—the Four Cloud Adoption Patterns | 四种云采用模式

  • 该文章是Network Operations and Security Professionals’ Guide to Managing Public Cloud Journeys（“管理公共云之旅的网络运营和安全专家指南”）系列文章的第二篇，介绍了四类从传统运营到云过渡的场景及其风险
    1. 开放商主导： 开发商采用了云相关技术
    2. 数据中心转型
    3. 快照迁移
    4. 本机新建

•  the Latest DevSecOps Reference Architecture | DevSecOps新的参考架构

  • 提供各家厂商各自的DevSecOps架构。

•  OWASP openSAMM .2 发布

  • 提供各家厂商各自的DevSecOps架构。

•  Building Fuzzing into Continuous Integration Workflows | Fuzzit：将Fuzzing纳入持续集成工作流程

  • 对于PC程序而言，例如浏览器，fuzz是一种重要的漏洞挖掘方式，文章提出需要把fuzz集成到CI工作流中协助漏洞发现

•  Demystifying DevOps: Essential Building Blocks of a DevOps Approach | Demystifying DevOps：构建DevOps重要的内容

  • 文章基本包含两部分，一是构建的devops的方法论 ，第二部分是辅助devops实施的工具。
    • 方法论包括以下几点：
      1. 针对小团队实施
      2. 连续反馈的自动化测试
      3. 松耦合的体系结构
      4. 支持远程分析生产的应用程序（大致是描述远程分析定位程序bug的技术
      5. 持续的全组织学习
    • 工具类
      1. 集中式devops平台
      2. kubernetes支持的弹性环境
      3. 建立管道的CI/CD,持续交付

Collected By Alkaid

PS： 目前国内的消息源有限，如果有相应方面（SDLC、自动化、DevSecOps、威胁建模、应用安全、云安全）的文章，可以邮件alkaid.guang@gmail.com ，谢谢