首页|必读|视频|专访|运营|制造|监管|大数据|物联网|量子|元宇宙|博客|特约记者
手机|互联网|IT|5G|光通信|人工智能|云计算|芯片报告|智慧城市|移动互联网|会展
首页 >> 技术 >> 正文

新思科技强调软件安全是数字化转型的“刚需” DevSecOps可帮助企业走出“安全孤岛”

2021年12月1日 15:24  CCTIME飞象网  

最新《中国DevOps现状调查报告(2021年)》显示

新思科技Coverity在安全工具市场占比最高,达32.74%

飞象网讯 我们正走向万物互联的时代,产业数字化转型是当下及未来的必经之路,这一切都离不开软件的驱动。安全是成功数字化转型的前提。在数字化转型过程中,原来相互隔离的信息化系统已无法满足需求,传统的安全防护方式可能不足以应对更加开放、多元的应用场景,一旦发生攻击,企业将承担巨大损失。因此,可以说软件安全在很大程度上影响数字化转型的速度和质量。

由于新技术不断涌现及其应用日趋成熟,软件开发模式发生改变,DevOps 快速兴起,并紧随安全“左移”被广泛认可,DevSecOps 已经成为很多企业数字化转型过程中应用安全的基础保障。这不仅有利于企业更快速、更安全地将产品上市,也加速了社会数字经济的发展。

新思科技一直致力于帮助企业更快速地构建安全、优质的软件,在推动DevSecOps落地方面有丰富经验。新思科技强调引入DevSecOps可以从源头及时治理安全问题,走出“安全孤岛”。但是随着网络环境与黑客攻击方式越来越复杂、企业文化鸿沟以及高效工具缺失等问题,落地DevSecOps对于现代IT企业来说是一件很棘手的工作。

新思科技软件质量与安全部门高级安全架构师杨国梁表示:“DevSecOps不止是一套工具,而是融合开发、安全及运营理念以创建解决方案的系统方法。这需要把人员、流程、技术、工具结合起来,由内到外强化应用,使其能够灵活防御各种潜在威胁。新思科技通过实际经验总结出一些建议,助力企业更高效地落地DevSecOps,进而推动产业数字化转型,更快地迈上高质量发展之路。”

培养 DevSecOps 文化和思维,进行安全培训

DevSecOps的核心是文化和思维方式。以前,安全防护只是特定团队的责任,在开发的最后阶段才会加入;但是这种做法现在已经行不通了。DevSecOps要求

通过专业培训在企业内部全面建立起安全意识与安全保障机制。有些企业会有一种误区,觉得开发人员可以满足整个软件开发生命周期(SDLC)中的任何安全需求,或者开发人员可以自学这些安全知识。

杨国梁介绍道:“自学可能适用于少数开发人员,但是需要多长时间以及评估指标是什么很难界定,尤其是DevSecOps还没有在真正意义上普及起来。企业更需要安全专家提供培训,以帮助他们与时俱进。新思科技可以提供安全发展计划和培训、CI/CD 战略与规划及云安全评估等,推动企业循序渐进地部署DevSecOps。”

企业可以将DevSecOps文化融入日常职能,平衡安全、速度和规模。如果内部某一团队有效实施了DevSecOps,并从中获益,那他们可以成为其他团队的范例,复制成功。

整合自动化工具,内置安全

云计算开源产业联盟近期发布的《中国DevOps现状调查报告(2021年)》显示,五成以上的受访企业尝试实践DevSecOps。而且,源代码静态安全检测、容器镜像安全扫描以及Web应用防火墙成为企业应用最广泛的DevSecOps实践。

杨国梁说:“报告指出Coverity静态应用安全测试(SAST)是企业应用最为广泛的四种安全工具之一,并且占比最高,达32.74%。这证明了新思科技的静态分析解决方案已经受到中国市场的充分认可。”

凭借Coverity,企业可以实现大规模静态分析自动化,帮助开发和安全团队在SDLC早期解决安全和质量缺陷,跟踪和管理整个应用组合的风险,并确保符合安全和编码标准。此外,新思科技还提供Black Duck软件组成分析(SCA)、Seeker交互式应用安全测试(IAST) 以及API 安全测试等工具,在软件中内置安全,并贯穿整个SDLC。

将安全漏洞视为软件缺陷,适时评估安全计划成果

安全漏洞的报告方式通常不同于质量和功能缺陷。通常,企业在两个不同的位置维护两种类型的结果——安全和质量。这降低了每个团队和相关人员在查看项目的整体安全状况时的可见性。在同一处维护安全和质量有助于团队以相同的方式和优先级处理这两种类型的问题。

在企业部署工具发现质量和安全问题并进行修复后,要如何评估安全计划的整体成果,以持续推进DevSecOps呢?企业需要一把标尺。

新思科技软件安全构建成熟度模型(BSIMM) 是一种基准工具,通过数据驱动的客观方式展示当前软件安全性活动的概况。与规定性模型不同,描述性模型BSIMM实际相当于一个行业报告,企业可以参照其中的数据来定位自己的坐标,考核软件安全计划大致在一个什么水准,是否需要做改进和进一步提升等等。企业可以凭借这把标尺决定哪些额外安全活动对支持其整体DevSecOps战略有意义,并且有针对性地制定下一步计划。

杨国梁总结道:“软件安全是数字化转型的‘刚需’,DevSecOps可将安全防护融入整个SDLC,充分发会DevOps的敏捷性和响应力。当然,落地DevSecOps不会一蹴而就,需要一套整体的规划,覆盖人员、技术、流程、评估等。因此,软件开发需要联动安全开发与业务、运维等,将安全开发作为企业文化延伸到各个部门。新思科技一直强调安全测试应尽可能在 SDLC 的最左侧(即最早期)开始,即安全‘左移’。防患未然,才能为DevSecOps顺利落地保驾护航。”

编 辑:章芳
声明:刊载本文目的在于传播更多行业信息,本站只提供参考并不构成任何投资及应用建议。如网站内容涉及作品版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容。本站联系电话为86-010-87765777,邮件后缀为#cctime.com,冒充本站员工以任何其他联系方式,进行的“内容核实”、“商务联系”等行为,均不能代表本站。本站拥有对此声明的最终解释权。
相关新闻              
 
人物
工信部张云明:大部分国家新划分了中频段6G频谱资源
精彩专题
专题丨“汛”速出动 共筑信息保障堤坝
2023MWC上海世界移动通信大会
中国5G商用四周年
2023年中国国际信息通信展览会
CCTIME推荐
关于我们 | 广告报价 | 联系我们 | 隐私声明 | 本站地图
CCTIME飞象网 CopyRight © 2007-2024 By CCTIME.COM
京ICP备08004280号-1  电信与信息服务业务经营许可证080234号 京公网安备110105000771号
公司名称: 北京飞象互动文化传媒有限公司
未经书面许可,禁止转载、摘编、复制、镜像