日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

?譯者 | 李睿

審校 | 孫淑娟

企業(yè)不應(yīng)該期望開發(fā)人員成為安全專家，因為安全不是他們的本職工作，也不是他們的擅長的領(lǐng)域。與其相反，企業(yè)應(yīng)該讓應(yīng)用安全團隊為開發(fā)人員提供支持，讓他們可以訪問安全的框架、庫和默認設(shè)置，使最安全的選項成為最簡單的選擇。安全護欄旨在幫助企業(yè)做到這一點。

可視化安全護欄將如何使企業(yè)的開發(fā)人員和安全團隊受益，這將幫助員工入門。本文提供了一些可以實施的基本步驟，以將安全護欄引入其應(yīng)用安全程序。

當(dāng)提供通過將安全工具無縫集成到應(yīng)用開發(fā)工作流中來編排安全工具的安全護欄時，開發(fā)人員有權(quán)創(chuàng)建安全代碼。他們通過保持低干擾的政策和控制來保持生產(chǎn)力，并且只報告影響很大的相關(guān)安全問題。

采用安全護欄可以確保開發(fā)團隊在不需要安全團隊積極參與的情況下快速運行。同樣，應(yīng)用安全程序團隊可以通過在開發(fā)人員的工作流程中自動化安全控制來進行擴展，確保執(zhí)行而不是人工執(zhí)行審查以及跟蹤錯誤修復(fù)來擴展。

當(dāng)控件被納入開發(fā)過程時，開發(fā)團隊不太可能忽視和繞過安全性。他們不必采取額外的步驟聯(lián)系安全團隊。安全護欄確保最快的部署路徑也是最安全的路徑。

1、如何將安全護欄帶入應(yīng)用安全程序

Netflix和Airbnb等公司承認有必要讓開發(fā)人員團隊能夠構(gòu)建安全的軟件，同時為他們提供做出適當(dāng)安全決策的靈活性。這些企業(yè)和許多其他企業(yè)已經(jīng)在持續(xù)集成（CI）/持續(xù)交付（CD）中實施了安全護欄。以下一些步驟可以幫助企業(yè)開始為開發(fā)人員提供一致、可操作的自助式安全治理和控制。

（1）定義護欄：企業(yè)可以在開發(fā)人員工作流程中實施許多不同類型的安全護欄。對于技術(shù)企業(yè)內(nèi)的安全團隊來說，從良好的安全策略開始都是至關(guān)重要的。應(yīng)用安全團隊已經(jīng)與開發(fā)人員進行交流的安全控制就是一個很好的起點。這些可以是定義軟件工件的所有權(quán)、遵循特定的依賴許可策略、使用內(nèi)部工件注冊表、使用或不使用特定庫、代碼審查控制等。

（2）設(shè)置范圍：并不是所有的代碼庫都是平等創(chuàng)建的，根據(jù)項目的業(yè)務(wù)風(fēng)險和關(guān)鍵性，不同的安全護欄可能適用于不同的代碼庫。一旦知道要實施哪些安全護欄來構(gòu)建適當(dāng)?shù)陌踩?，就可以確定在哪里應(yīng)用這些安全護欄。

（3）定義觸發(fā)器：根據(jù)為其應(yīng)用防護機制的基礎(chǔ)資產(chǎn)（即代碼庫、依賴項、拉取請求、容器、EC2實例等），可以在何處以及如何使用它可能會有所不同。例如，可以在創(chuàng)建代碼存儲庫、合并拉取請求、部署容器或每天晚上作為日程安排時使用一些護欄?？梢栽谌魏芜@些事件中觸發(fā)護欄，以便開發(fā)人員可以在適當(dāng)?shù)臅r間采取適當(dāng)?shù)男袆印?/p>

（4）采取適當(dāng)?shù)男袆樱焊鶕?jù)設(shè)計，護欄可以是預(yù)防性的或反應(yīng)性的，對違規(guī)行為可能采取的行動取決于是否打算采取預(yù)防性或反應(yīng)性措施?？梢允褂梅磻?yīng)式護欄按預(yù)定義的時間表運行，識別各種護欄的違規(guī)行為，并通知相應(yīng)的所有者。例如，每周找出未配置依賴項掃描和SAST工具的關(guān)鍵代碼庫，并將違規(guī)情況通知所有者。

預(yù)防性護欄實時識別違規(guī)行為，并通知開發(fā)人員。例如，如果未在該存儲庫上啟用依賴掃描，則自動對拉取請求進行注釋或使構(gòu)建失敗，或者如果容器不是來自批準(zhǔn)的容器注冊表，則阻止在Kubernetes中部署容器。

（5）報告：定期報告企業(yè)對護欄的遵守情況。護欄的報告消除了許多關(guān)于這個安全問題是否必要的非生產(chǎn)性辯論，并使安全風(fēng)險二元化。決策變得與底層軟件資產(chǎn)是否滿足預(yù)期控制一樣簡單，而不需要進一步的安全策略或FUD（恐懼、不確定性和懷疑）。

2、為什么安全護欄是應(yīng)用安全程序的未來

工程和安全團隊已經(jīng)解決了在DevOps期間實施安全的復(fù)雜問題。企業(yè)往往缺乏安全可見性，開發(fā)人員工作流中的安全檢查不足，無法以DevOps的速度擴展應(yīng)用安全程序。安全護欄簡化了關(guān)聯(lián)特定于場景的安全策略和控件，這些策略和控件可以在開發(fā)人員工作流中定義和應(yīng)用。這種策略是應(yīng)用安全程序的未來，因為企業(yè)必須授權(quán)開發(fā)人員在不受安全把關(guān)影響的情況下生成安全代碼。

安全護欄是確保開發(fā)團隊在現(xiàn)代軟件開發(fā)生命周期(SDLC)中采用安全策略和控制的唯一方法。這種采用消除了開發(fā)人員與安全團隊之間的摩擦，并確保開發(fā)人員能夠快速且安全地開發(fā)應(yīng)用程序。

通過應(yīng)用自動化的安全護欄，企業(yè)可以降低安全風(fēng)險，并使部署路徑盡可能安全。安全護欄讓開發(fā)人員能夠完全自主地實現(xiàn)與時間相關(guān)的關(guān)鍵性能指標(biāo)，同時讓安全團隊的瓶頸最小化，與此同時讓安全團隊騰出時間將他們的知識和技能應(yīng)用于最緊迫的事項。

安全護欄代表了最終的安全轉(zhuǎn)變，使開發(fā)人員能夠安全地從代碼到云平臺。借助持續(xù)集成（CI）/持續(xù)交付（CD）中預(yù)先構(gòu)建的、場景相關(guān)的實時安全策略和控制，企業(yè)可以影響開發(fā)人員的行為并在軟件開發(fā)生命周期(SDLC)中構(gòu)建安全性。

網(wǎng)站題目：如何將安全護欄引入應(yīng)用安全程序中
文章起源：http://www.5511xx.com/article/djsisod.html