从RSAC看DevSecOps的进化与落户思考
发布时间:2022-06-04 09:17:45 所属栏目:安全 来源:互联网
导读:基于参会人员的关注热度,RSAC发布了2020年网络安全行业十大趋势,DevSecOps再次成为大家关注的焦点之一。其中,有着全球网络安全风向标之称的RSA创新沙盒,进入十强的安全厂商中近半数聚焦在应用安全领域,BluBracket和ForAllSecure就是今年DevSecOps领域的
|
基于参会人员的关注热度,RSAC发布了2020年网络安全行业十大趋势,DevSecOps再次成为大家关注的焦点之一。其中,有着“全球网络安全风向标”之称的RSA创新沙盒,进入十强的安全厂商中近半数聚焦在应用安全领域,BluBracket和ForAllSecure就是今年DevSecOps领域的创新厂商代表。作为国内DevSecOps的主要推动力量之一,在这里对近几年DevSecOps战略框架的发展做个系统梳理,并分享我们悬镜安全这些年探索的落地实践方案。 1 何为DevSecOps? DevSecOps(Development Security Operations的缩写),一套基于DevOps体系的全新IT安全实践战略框架,最早由Gartner咨询公司研究员David Cearley在2012年提出,它是一种糅合了开发、安全及运营理念的全新安全管理模式。2016年9月,Gartner发布报告《DevSecOps: How to Seamlessly Integrate Security into DevOps》,对该模型及配套解决方案进行详细的分析,核心理念为:“安全是整个IT团队(包括开发、测试、运维及安全团队)所有成员的责任,需要贯穿整个业务生命周期的每一个环节。 传统文化:业务发展优先,安全是“以后”才会发生的事情,会阻碍业务的发展。 DevSecOps文化:安全是大家的事。DevSecOps每一个项目都不是纯安全部门的事,是安全和产品、研发、测试、运维等部门一起参与的项目,每一个人皆为安全负责。 柔和低侵入性是指配套工具链技术的实施尽可能对原业务流程产生微小的影响。好的实践方案尽可能去依附企业原有的开发测试平台来做,比如安全工具接入代码管理、项目管理及第三方单点登录系统等平台,尽可能做到对政企用户的透明自动化。 2 从RSAC看DevSecOps的进化 DevSecOps于2017年引入RSAC,大会甚至专门为它设置研讨会。DecSecOps机构总监Shannon Lietz在本次研讨会上做了《下一代安全需要你!》的专题分享,她认为DevSecOps是一套体系化的方法论,由战略驱动,一种通过初始创建并依据真实有效反馈的持续改进实现产品价值、运维、安全等各方面需求的实践,通过开发、运维和安全团队共同努力将安全和合规作为属性嵌入整个流程,并获得配套工具链支撑。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐