RSA2019观察:DevSecOps实施中的文化融合与能力构建
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》
DevSecOps作为安全领域中逐渐步入成熟期的技术体系,本质上承继了安全开发生命周期(SDL)安全关口左移的理念,DevSecOps总结起来就是:能力集成,持续学习,文化融合。其中“融合”这一理念也体现在了今年RSAC DevSecOps day的主题上-“DevOps Connect”,通过CI/CD(持续集成/持续交付)并有效度量,实现效率提升。
本届会议上,文化融合和冲突成为了演讲者聚焦的重点话题,比如红队文化和开发人员之间的冲突,技术人员和非技术人员的冲突(包括HR等职能部门)、管理者和被管理者的冲突等。以红队与开发者的冲突场景来举例:红队习惯制造“惊喜”(提出高危漏洞,但不提供解决方案)、获取“机密”(用红队做掩护而获取隐私数据),而这些都不被开发人员以及组织所轻易接受。
文化冲突的体现
大量从业者意识到DevSecOps实施过程带来的文化冲突,并尝试解决这个问题,重要手段之一就是文化转型。为此,Larry Maccherone在会议中提出了Dev[Sec]Ops宣言:
l 建立安全而不仅仅是依赖安全;
l 依赖赋能的工程团队而不仅仅是安全专家
l 安全的实现功能而不仅仅是安全功能
l 持续学习而不是闭门造车
l 采用一些专用或常用的***实践而不是“伪”全面的措施
l 以文化变革为基础而不仅仅依赖规章制度
文化的建立和转型不仅要运用培训宣贯、会议沟通这类手段,还需要对组织的重新设计,比如建立“拧麻花”式的开放式组织,将安全人员融入每一个开发团队,而不是建立封闭的部门。这种方式,使得掌握安全能力的人员深入业务、开发、运维等各个领域,让DevSecOps真正创造价值,避免成为效率瓶颈。
解决冲突的过程同样离不开自动化和度量。借用演讲者的一句话:“将一切简单的东西自动化,将精力聚焦在复杂的事情上” 。基于这一原则,提升“简单领域”的自动化和集成程度,聚焦在业务领域的复杂问题上(业务领域知识、组织、管控流程),企业可逐步建立并实现DevSecOps领域的实施路线图和里程碑。
本届会议上,可以看到度量机制被实践DevSecOps的组织以及演讲者广泛应用。度量机制的好处就是效率提升可以量化,用数字说话,这是减少冲突的一种有效方式。关于DevSecops的实施路线和度量理念,Larry Maccherone提出9个实践关键点和文化接受度的7个阶段。
9个实践关键点包括:
l 安全意识
l 安全编码
l 威胁建模
l 第三方导入代码分析
l 代码编写分析
l 团队合作协议
l 高危脆弱性清理
l 同业人员评审
l 安全评估
DevSecOps的9个关键实践
通过对9个关键实践进行分为7个阶段的度量标注,运用不同颜色直观展示DecSecOps在组织中的实践和接受程度,使企业对其安全开发能力和发展状态有了全景认识,为后续持续和深度的改进打造良好的基础。
从抵制到文化融入的7个阶段
绿盟科技安全服务团队经过在金融、企业、运营商等行业的多年实践,总结形成了基于DevSecOps进行组织安全开发能力提升的5个关键成功要素,即
l 安全开发管控流程
l 安全开发知识库及工具
l 安全人员组织
l 度量与评价指标
l 持续优化
围绕上述要素,绿盟科技安全服务团队设计了基于SDL和DevSecOps的安全开发能力提升服务方法论和整体框架,并构建安全开发能力平台辅助安全服务的实施过程,通过基于服务能力的平台产品实现对实施过程中各类安全开发资源的集成与管控:
l Jenkins、Gitlab等DevOps工具链的集成
l 6种代码安全审计工具以及超过3000条规则的定制与梳理;
l 专家级知识库
n 基于威胁建模的威胁库
n 900条+,针对4大类应用安全、通信安全、系统部署运维安全、典型业务场景安全的安全需求库
n 覆盖82个场景,540个安全设计的安全设计库
借助安全开发能力平台可以***程度上将安全开发的管控时间点左移,从而在持续集成阶段即解决代码安全问题,并通过专家级知识库的构建,降低了组织对于无论是“Dev”、“Sec”或者“Ops“人员的安全能力要求,并通过绿盟科技具有丰富的全行业项目经验的安全服务顾问进行全程现场辅导,协助企业完成跨部门的安全文化构建和流程打穿,最终实现安全开发工作的全程闭环。
关于DecSecOps社区
由DecSecOps社区组织的2019年的RSAC DevSecOps day 的活动热度超出预期,同样对比CSA社区的热度已经明显下降,其推出的读物以及海报均下载,是了解DevSecOps技术和文化的重要窗口。会议现场DevSecOp社区通过对负责“造轮子”的安全厂商与注重实践经验分享的***方进行空间上的分割,也一定体现了DecSecOps社区的业界生态理念。相信在下一届的DevSecOps上会看到ShiftLeft等创新沙盒中异军突起厂商的加入。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
企业网络安全存在哪些主要问题
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 在现如今,我们全球的任何一个地方任何一个角落都在网络的控制之下,可以说网络是我们生活中不可缺少的。网络除了娱乐之外还可以用于企业的办公,但是企业的网络安全如何呢?了解网络安全常识,首先就要了解计算机网络安全有哪些基本注意事项。 1. 人为的无意失误 如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。 2. 人为的恶意攻击 来自内部的攻击者往往会对内部网安全造成巨大的威胁,造成的损失巨大,所以这部分攻击者应该成为我们要防范的主要目标。 3. 网络软件的漏洞 和“后门”网络软件不可能是无缺陷和无漏洞的,这些漏洞和缺陷恰恰是黑客进行攻击的目标。曾经出现过的黑客攻入网络内部的事件大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,可一旦“后门”洞开,其造成的后果将不堪设想。 4. 互联网络的不安全因素 国际互联网络是跨越时空的,所以安全问题也是跨越时空的。虽然我们国...
- 下一篇
基于欺骗的勒索软件检测:它是什么以及为什么需要它
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 随着激励措施的增加和黑客软件的传播,勒索软件的趋势越来越大。问题是,网络犯罪分子越来越容易使用新的勒索软件即服务(RaaS)工具,BYOD用户漏洞,改进的加密方法和无法追踪的比特币支付来执行这些操作。 您希望有机会加密网络数据存储和存储在其中的关键任务数据之前阻止勒索软件。但需要跟上勒索软件创新的步伐可能会是一个挑战。它需要同样创新方法来保护:使用欺骗技术。 勒索软件的真实成本 非生产性停机是组织遇到勒索软件攻击时的重大成本。即使组织确实付费,停机时间仍然很长(最终可能导致组织的损失甚至会超过赎金)。 在2016年的感恩节假期期间,他们遭到勒索软件袭击,被迫为他们的客户免费提供两天。即使你从他们的平均每日乘客量 702,000(每张2.50美元)中推算成本,这也是很大的资金损失。相比之下,攻击者向其索要了73,000美元。 去年在洛杉矶,好莱坞医疗中心受到攻击,使医生无法访问病历超过一周。处方信息,治疗史,X光和CT记录以及医学检查都无法进入。传真和现场重新评估,因为一些重要患者被转移到附近的其他医院。他们最终支付...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS7,8上快速安装Gitea,搭建Git服务器
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Docker安装Oracle12C,快速搭建Oracle学习环境
- Windows10,CentOS7,CentOS8安装Nodejs环境
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS8安装Docker,最新的服务器搭配容器使用
- 设置Eclipse缩进为4个空格,增强代码规范
- CentOS7安装Docker,走上虚拟化容器引擎之路