当前位置:云计算行业动态 → 正文

以消耗普通DevOps项目方式来重塑安全性

责任编辑:editor006 作者:单文彦 |来源:企业网D1Net  2017-10-17 16:13:42 本文摘自:it168网站

如何保持代码安全性呢? Contrast Security的联合创始人兼首席技术官Jeff Williams解释了为什么必须要重新设计安全性、DevSecOps为什么如此重要,以及如何在应用程序中避免严重风险。

以消耗普通DevOps项目方式来重塑安全性


Jeff Williams

安全性是当今最热门的话题之一,虽然目前没有发生严重的事故,但这并不一定是件好事。我们应该重塑安全性吗?

Jeff Williams: 我们必须重塑安全性。我们一直在做同样的单一的测试,重量级的进程已经进行20年了,但在基本的阻塞和处理上仍然不太理想,更不用说高级的威胁了。

去年DevOps的顶级影响者Greg Bledsoe表示,DevOps的最新趋势是实现DevSecOps。你同意他的说法吗?

Jeff Williams: DevSecOps是一个关键的趋势,它为我们提供了一个以非常基本的方式重新连接软件开发的机会。DevSecOps不仅仅是采用现有的安全措施,更将它们推到开发和操作之间。

相反,我认为我们必须重新考虑安全性的工作,使其与DevOps组织兼容。从本质上说,我们需要以普通的DevOps项目可以消耗安全性的方式来重新安装安全工作,并提供很好的结果……,而无需在关键路径上找到安全专家。

组织是否做了足够的工作来保护自己免受数据威胁?

Jeff Williams: 没有,几乎每一个存在的应用程序都至少包含了一个OWASP十大漏洞,15年来基本没有改变。此外,基本上没有web应用程序和api可以检测到何时被攻击,或者采取行动阻止这些攻击。

事实上,大多数应用程序都需要花几天或者几周的时间来重写、重新测试和重新部署。但在新漏洞发布后的几个小时内新攻击就开始运行了,这是一个不接受曝光的窗口。上个月发布的Struts2漏洞就是一个很好的例子。

我们能做什么?你是否有一些技巧或教训?

Jeff Williams: 首先,要知道代码和组件在哪里运行。其次,关注一些最重要的风险,并确保将它们从应用程序中除去。我推荐使用IAST技术,简单准确。第三,确保所有应用程序在运行时都具有保护。否则,无法了解攻击是如何进行的,也无法对新的攻击作出响应。

DevOps的方向在哪里,如何利用它来获取优势?

Jeff Williams: DevOps正在接管软件开发。 大多数组织已经在他们的“DevOps之旅”中了。 我认为关于DevOps的关键是要保持正确道路并为客户提供价值。 DevOps为安全性提供了坚实的基础。

人们应该怎样了解网络安全?

Jeff Williams: 大多数人会非常惊讶于我们使用的软件是多么的脆弱。平均每个应用程序有26.8个严重的漏洞。我认为其中有一到两个会涉及到安全性,这确实是一个疏忽。

关于网络安全的最大误解是什么?

Jeff Williams: 我认为也许最大的误解是对黑客攻击的追捧。最好的安全研究人员是能够像犯罪实验室一样快速和科学地评估应用程序,并找到漏洞假设的条件的人。

采用安全框架有什么好处?

Jeff Williams: 安全框架就像NIST CSF一样,帮助组织确保他们在最高级别的安全架构中没有大的差距。 您可以使用框架来了解您所拥有的产品、过程和其他防御的覆盖率。

这些框架的危险在于细节。 您可能会认为静态分析工具可以很好地覆盖框架的应用程序安全部分。 但是,无法看到静态工具在其可以找到的漏洞的类型上受到限制。

关键字:DevOps安全性

本文摘自:it168网站

x 以消耗普通DevOps项目方式来重塑安全性 扫一扫
分享本文到朋友圈
当前位置:云计算行业动态 → 正文

以消耗普通DevOps项目方式来重塑安全性

责任编辑:editor006 作者:单文彦 |来源:企业网D1Net  2017-10-17 16:13:42 本文摘自:it168网站

如何保持代码安全性呢? Contrast Security的联合创始人兼首席技术官Jeff Williams解释了为什么必须要重新设计安全性、DevSecOps为什么如此重要,以及如何在应用程序中避免严重风险。

以消耗普通DevOps项目方式来重塑安全性


Jeff Williams

安全性是当今最热门的话题之一,虽然目前没有发生严重的事故,但这并不一定是件好事。我们应该重塑安全性吗?

Jeff Williams: 我们必须重塑安全性。我们一直在做同样的单一的测试,重量级的进程已经进行20年了,但在基本的阻塞和处理上仍然不太理想,更不用说高级的威胁了。

去年DevOps的顶级影响者Greg Bledsoe表示,DevOps的最新趋势是实现DevSecOps。你同意他的说法吗?

Jeff Williams: DevSecOps是一个关键的趋势,它为我们提供了一个以非常基本的方式重新连接软件开发的机会。DevSecOps不仅仅是采用现有的安全措施,更将它们推到开发和操作之间。

相反,我认为我们必须重新考虑安全性的工作,使其与DevOps组织兼容。从本质上说,我们需要以普通的DevOps项目可以消耗安全性的方式来重新安装安全工作,并提供很好的结果……,而无需在关键路径上找到安全专家。

组织是否做了足够的工作来保护自己免受数据威胁?

Jeff Williams: 没有,几乎每一个存在的应用程序都至少包含了一个OWASP十大漏洞,15年来基本没有改变。此外,基本上没有web应用程序和api可以检测到何时被攻击,或者采取行动阻止这些攻击。

事实上,大多数应用程序都需要花几天或者几周的时间来重写、重新测试和重新部署。但在新漏洞发布后的几个小时内新攻击就开始运行了,这是一个不接受曝光的窗口。上个月发布的Struts2漏洞就是一个很好的例子。

我们能做什么?你是否有一些技巧或教训?

Jeff Williams: 首先,要知道代码和组件在哪里运行。其次,关注一些最重要的风险,并确保将它们从应用程序中除去。我推荐使用IAST技术,简单准确。第三,确保所有应用程序在运行时都具有保护。否则,无法了解攻击是如何进行的,也无法对新的攻击作出响应。

DevOps的方向在哪里,如何利用它来获取优势?

Jeff Williams: DevOps正在接管软件开发。 大多数组织已经在他们的“DevOps之旅”中了。 我认为关于DevOps的关键是要保持正确道路并为客户提供价值。 DevOps为安全性提供了坚实的基础。

人们应该怎样了解网络安全?

Jeff Williams: 大多数人会非常惊讶于我们使用的软件是多么的脆弱。平均每个应用程序有26.8个严重的漏洞。我认为其中有一到两个会涉及到安全性,这确实是一个疏忽。

关于网络安全的最大误解是什么?

Jeff Williams: 我认为也许最大的误解是对黑客攻击的追捧。最好的安全研究人员是能够像犯罪实验室一样快速和科学地评估应用程序,并找到漏洞假设的条件的人。

采用安全框架有什么好处?

Jeff Williams: 安全框架就像NIST CSF一样,帮助组织确保他们在最高级别的安全架构中没有大的差距。 您可以使用框架来了解您所拥有的产品、过程和其他防御的覆盖率。

这些框架的危险在于细节。 您可能会认为静态分析工具可以很好地覆盖框架的应用程序安全部分。 但是,无法看到静态工具在其可以找到的漏洞的类型上受到限制。

关键字:DevOps安全性

本文摘自:it168网站

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^