DevSecOps资讯汇编 第九期
DevSecOps资讯汇编
第九期
DevSecOps
-
- 文章总结了目前devsecops的关注点,安全测试工具和安全控制过程能够很好的适应开发人员,而不是背道而驰。同时总结一些遇到的瓶颈:
- 应用安全测试在CI/CD软件开发周期中的集成点
- SAST 因效率差、误报率高无法敏捷的融入到 DevOps 中
- DAST因适应场景有限及严重影响正常业务功能测试而无法融入到DevOps中
- 被动型IAST是DevSecOps测试阶段实现自动化安全测试的最佳工具
- 文章总结了目前devsecops的关注点,安全测试工具和安全控制过程能够很好的适应开发人员,而不是背道而驰。同时总结一些遇到的瓶颈:
-
如何构建应用安全全生命周期解决方案——【DevSecOps】
- 总结了一些DevSecOps实施的方向性建议以及遇到的一些困难
-
- 五条建议如下:
- 自动化
- 检测代码依赖包
- 不要贪多
- 选择合适的工具
- 开发人员安全编码培训
- 五条建议如下:
-
Now Is the Time to Focus on API Security | 是时候关注API安全
- 云服务的进一步推广,引发的server less潮流更多注意力开始集中在点上例如应用安全,api安全,该文章例举了部分证据以说明当下的安全产业趋势
- API数据泄露可能占未来几个月丢失记录的50%以上,并成为大规模黑客入侵的最大单一媒介
- 影子API(理解为管理之外的api,无法知道属于谁,开放状况)继续作为对云优先的企业的新威胁而出现
- 无服务器继续超过Kubernetes和容器使用率
- CCPA成立第一年的罚款将超过2亿美元
- 云服务的进一步推广,引发的server less潮流更多注意力开始集中在点上例如应用安全,api安全,该文章例举了部分证据以说明当下的安全产业趋势
-
Problems With Sharing Responsibility for Security | 共同承担安全责任的问题
- 文章讨论了企业中不同群体对于安全责任鉴定的看法和比例,文章同时也提到了,在没有KPI支撑的情况下,开发人员只能隐约负责解决安全问题。
-
Problems With Sharing Responsibility for Security | 共同承担安全责任的问题
- 文章讨论了企业中不同群体对于安全责任鉴定的看法和比例,文章同时也提到了,在没有KPI支撑的情况下,开发人员只能隐约负责解决安全问题。
-
Defining the Journey—the Four Cloud Adoption Patterns | 四种云采用模式
- 该文章是Network Operations and Security Professionals’ Guide to Managing Public Cloud Journeys(“管理公共云之旅的网络运营和安全专家指南”)系列文章的第二篇,介绍了四类从传统运营到云过渡的场景及其风险
- 开放商主导: 开发商采用了云相关技术
- 数据中心转型
- 快照迁移
- 本机新建
- 该文章是Network Operations and Security Professionals’ Guide to Managing Public Cloud Journeys(“管理公共云之旅的网络运营和安全专家指南”)系列文章的第二篇,介绍了四类从传统运营到云过渡的场景及其风险
-
the Latest DevSecOps Reference Architecture | DevSecOps新的参考架构
- 提供各家厂商各自的DevSecOps架构。
-
- 提供各家厂商各自的DevSecOps架构。
-
Building Fuzzing into Continuous Integration Workflows | Fuzzit:将Fuzzing纳入持续集成工作流程
- 对于PC程序而言,例如浏览器,fuzz是一种重要的漏洞挖掘方式,文章提出需要把fuzz集成到CI工作流中协助漏洞发现
-
- 文章基本包含两部分,一是构建的devops的方法论 ,第二部分是辅助devops实施的工具。
- 方法论包括以下几点:
- 针对小团队实施
- 连续反馈的自动化测试
- 松耦合的体系结构
- 支持远程分析生产的应用程序(大致是描述远程分析定位程序bug的技术
- 持续的全组织学习
- 工具类
- 集中式devops平台
- kubernetes支持的弹性环境
- 建立管道的CI/CD,持续交付
- 方法论包括以下几点:
- 文章基本包含两部分,一是构建的devops的方法论 ,第二部分是辅助devops实施的工具。
Collected By Alkaid
PS: 目前国内的消息源有限,如果有相应方面(SDLC、自动化、DevSecOps、威胁建模、应用安全、云安全)的文章,可以邮件alkaid.guang@gmail.com ,谢谢
以技入道