应用安全左移-使用正确的安全工具弥合DevOps 与安全之间的鸿沟-DevOps社区

应用安全左移应用安全左移998-9938或corporate@ore第一版的修订历史已尽力确保本作品中包含的信息和说明准确无误，但出版商和作者许可证或他人知识产权的约束，则您有责任确保您对其的使用符合此类将安全左移意味着从流水线的最早阶段就引入工具和流程来在报告结束时，你将能够向你的组织提出一些应用程序安全建之间和谐的关系和一组共享的安全优先级，任何组织都可介绍程序的悠久历史的工具似乎已经过时，被贴上“遗留”工具的标签用程序防火墙(WAF)这类工具提供了运行时保护和有关应用已经适应了现代基础设施和应用程序，随着威胁行为者开发出有意识的文化转变，使安全成为每个人的责任，从设计到生产的整个过程都这一转变的驱动力是经由利用来自运行时工具从根深蒂固的流程到预算，再到内部政治，许多因素都可能致使如将左移策略引入持续集成和持续部署(CI/CD)软件流水线的一些策第1章DevOps和DevSecOps的压力，敏捷开发方法将大型任务分解为若干更小的单元，从构将从单体模型转向微服务，这使得分散的团队可以在不同的的，这也是DevOps发挥作用的所在之处。DevOpsDevOps是一种概念，是涵盖了多项目标的一系列实践。DevOps将开发和运营结了负责其中不同任务团队之间的界限，使他们能够建立应用程序和功持续集成意味着在开发后尽快将代码变更合并到共享的主代码开发流水线的早期阶段，测试和反馈循环变得更快这种安全方法在传统的单体软件开发过程中并不十分有DevSecOps有的速度和敏捷性。正如DevOps赋予更多开发人员测试自己代码的职责一样，DevSecOps将安全实践构建到应用程序开发生命周期的每个阶段，并在每个步骤最佳实践，并指导每个人接纳安全思维方式不同的团队开始将自己视为单一文化的一部分，并DevOps和DevSecOps如何改变团队软件开发过程带来灵活性和透明度，DevSecOps便转向于可在被安全流程阻断其工作，安全团队也将发现自己不再需要重复解决相同采纳DevSecOps的挑战采纳DevSecOps实践具有非常明显的优势，但这并不意味着其中的每一步都很容易，从保护分布式应用程序的日常机制到重大的理念变革，DevSecOps都会为团队传统意义来说，安全性侧重于易于理解的应用程序边界，通跨多个网域进行通信，并且处理来自全球的设备和用户数据，这就使得的攻击面又大又难定义，几乎不可能盘点这些服务之间的所有交互或者发实践经验，而且还需要足够的知识来理解他们负责解决的少的费用更早的得到解决，并且也为参与软件开发过第2章安全左移DevSecOps：安全左移传统上，安全和其他测试放在软件开发过程的最后阶段安全左移需要在整个软件供应链中采取强有力的应用缺陷解决方案，并减轻运营团队的应用程Research和Assessment团队（DORA）制作的《加速DevOps状态状态报告安全左移的挑战在一些组织中，不同的团队在如何自我组织和工作方面有很大熟，他们倾向于与组织范围内的最佳实践保持一致，但当左移时，如果公司文化对于问责过于正式，那么安全团队之外的人员可能很难在SDLC早上缓解，但对于参与应用程序开发和运维的每个人额外的责任负担，并且是安全人员与组织中其他人作。敏捷方法和DevOps提高了软件开发和部署的速度，要求公司在不牺牲可靠性和从而破坏了安全团队试图与开发和运维团队建立为什么左移很重要客户与服务或应用程序的每次交互都代表着公司与客户之型组织中，存在大量潜在的漏洞，其中任何一个漏洞虽然正在开发的应用程序和服务是最重要的安全目它们就可能会在整个软件流水线中一直传播到构建和部署阶段，变革策略将安全左移的好处是显而易见的：与在瀑布式开发过程只有让每个人都成为利益相关者，您的组织才能完开发人员必须负责评估和管理这些风险，并继续积累们对可能发生的攻击的广泛知识，帮助开发人员更必须与开发团队共享这些信息，从而帮助每个人的第3章应用安全安全领域正在如何变化基础设施即代码，必须使用声明性策略来维护所需的安全威胁于静态规则的安全性无法跟上攻击策略的变化以及应过程中使用过时或易受攻击的包作为依赖项以及不安全的设计都可能DevSecOps方法安全左移有助于通过使安全成为工作流程中查看可用的端口和组件，要传输或暴露的信息以及如何在传输和静态人类的专业知识是无可替代的，但自动代码扫描和安全测试工具尽管SAST和DAST有助于保护应通过以声明方式管理策略，直接从API模式获取策略，第4章场景：文化转变层明白这种方法无法扩展，但转向DevS最后一点很关键：无论开发过程中的漏洞检测有多好，你WAF这样的工具可以在整个过程中插入，提供最后一道防线和强大的反馈源，具可以帮助验证应用程序的性能是否符合设计要求，从实例：欧洲某大型银行实例：澳大利亚某银行很大的控制权，而云上则不同，它可以让开发团队在安全团队不知在向云迁移的推动下，安全团队在应用程序运行环境中管理WA在许多企业中，应用程序开发人员与其他团队之间的分歧是文全是事后才考虑的问题，一个知识渊博的支持者可以帮助工程师理解，在结论建安全性很重要，但更需要整体方法：像威胁行为者一样互连系统和服务之间通信的复杂性使得应用层既难以保护安全，DoS攻击等威胁无法从应用程序中设计从而能够驱动开发更安全的应用程序，