应用程序安全策略:随着DevOps的崛起,可能需要重新审视
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 【51CTO.com快译】过去六年来,我一直在从事Veracode的项目管理工作。在那段时间里,我了解到很多部署AppSec策略的不同方法。通常,安全团队(CISO / CIO领导)部署适用于开发人员和工程师的AppSec策略。然而,随着软件开发和发布方式的迅速变化,几年前部署的大多数安全策略已不再为开发社区所接受。当我们没有快速,自动化的安全工具可以插入SDLC时,许多应用程序安全策略就建立起来了。现在,随着团队转移到DevOps和CI / CD,现在比以往任何时候都更重要的是重新制定新的策略,这些策略与开发人员“快速获得良好代码”目标相一致,而不是违反。 基于多年来的工作经验,我整理了一些在调整应用程序安全策略时需要考虑的事项,具体如下: 首先实施可实行的政策 如果***引入安全性或***执行安全性,那么首先要制定一些可实现的政策标准。不要让一个从未做过安全措施的团队尝试满足PCI或所有OWASP要求;因为他们肯定无法满足,并在开始之前放弃。 从一个简单的政策开始:没有高或非常高的关键缺陷。随着时间的推移,开发...
