软件合规性团队应借鉴DevSecOps实践

2023-12-15 02:38

本文主要是介绍软件合规性团队应借鉴DevSecOps实践,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

作者:新思科技应用安全分析师Charlie Klein

 

尽管软件测试对于合规性至关重要,但当测试工具无法跟上现代软件开发的速度时,开发人员也会感到沮丧。本文将为您解析如何在不影响软件开发速度的情况下进行有效的软件合规性测试。

许多人认为应用安全仅仅应该是安全团队的责任。然而,虽然安全专家可以对此做出贡献,开发人员通常是唯一具备修复软件安全漏洞的技术能力的人。软件合规性也是如此。归根结底,只有开发人员才能构建符合特定软件标准的应用程序。

 

考虑到开发团队的紧迫期限,给他们额外的职责可能会带来挑战。为了帮助开发人员在不降低速度的情况下交付安全的应用程序,许多团队采用了DevSecOps,鼓励将自动安全测试集成到每个版本的DevOps工作流程中。

 

DevSecOps帮助团队更快地交付更安全的软件,但是否是更加符合合规性的软件呢?许多尝试实现软件合规性的团队遇到了与试图实现软件安全性的团队相似的挑战。幸运的是,他们可以采用相似的策略。

 

DevSecOps的作用是什么?

DevOps工作流程支持快速迭代的软件发布周期,这给软件安全带来了一定障碍。

 

在保护软件安全的传统方法中,测试是在应用程序构建之后,软件开发生命周期结束之后才进行的。结果,大多数(如果不是全部的话)应用程序同时测试,并且将一长串、令人生畏的安全问题清单发回给开发人员。

 

然而,许多团队发现这种方法与DevOps不兼容。开发团队没有时间,更不用说预算,来停止他们正在做的事情去处理一大堆表格中的问题。

 

为了解决这个问题,企业可以通过将安全测试集成到DevOps发布周期更短的、更高频率的反馈循环中,以实现DevSecOps。DevSecOps要求在早期经常执行自动安全测试,而不是在开发人员完成构建应用程序之后运行大型的测试。通过帮助开发人员编入更安全的代码,DevSecOps有助于减少质量保证(QA)必须识别以及发回来的问题数量。

 

如果开发团队可以将安全测试集成到DevOps工作流程中,为什么不将合规性测试也集成到DevOps工作流程中呢?

 

 

如何将DevSecOps实践应用到软件合规性中?

虽然安全测试通常与合规性测试要求不一样的分析方法,但是尝试DevSecOps的开发团队可以使用类似的方法来进行合规性测试。

 

正如传统的应用安全测试一样,合规性测试通常发生在QA环境中。大致的应用开发和测试流程如下所示:

 

  1. 开发人员编写应用程序的代码
  2. QA在开发人员转移到另一个项目时测试代码
  3. QA向开发人员发送一份违反合规性的列表,要求他们暂停当前的工作,先解决这些问题

 

这种合规性测试策略在技术上并没有什么问题。然而,这种方法并不受开发人员欢迎,如果问题列表特别长,对于开发团队来说可谓代价高昂。为了在应用程序完成之前解决更多的合规性问题,团队可以实施受DevSecOps启发的实践,来帮助开发人员在软件开发生命周期(SDLC)早期提交合规性代码。

 

策略之一是将自动合规性测试集成到DevOps发布周期中。通过定期测试而不是一次性测试应用程序,团队可以减少每个测试周期违规的数量。显然它需要在整个SDLC中进行更高频率的测试,事实证明这种方法比在QA中找到问题更快。

 

另一种方法是在集成开发环境(IDE)中创建沙箱环境,开发人员可以自己在其中运行测试。在编写代码时测试他们自己写的代码,使开发人员能够编入更清晰、更合规的代码,

因此违规就不太可能出现在QA中或者更糟出现在生产中。这种方法另一个好处是帮助开发人员熟悉可能导致违规行为的代码。

 

这些识别和解决违规问题的策略并不意味着要取代QA测试。然而,通过将合规性测试集成到SDLC的多个阶段,团队将在QA和开发的反馈循环中看到更少的问题,这将会更好地支持DevOps工作流程。

 

在现实中又是怎样的情况呢?

就像安全测试一样,将合规性测试集成到DevOps发布周期需要新的技术和工作流程,它们都有不同的学习曲线。

 

关于技术,静态分析正成为帮助开发团队构建合规应用程序的流行的选择方式。静态分析工具之间的覆盖范围各不相同,但是总体而言,该技术可以在代码质量标准中发现问题,比如MISRA 和CERT C/C++,以及安全标准,比如OWASP Top 10和 PCI DSS。

 

团队选择的用来解决合规性问题的静态分析工具或者其他的任何技术在他们采用的工作流程中发挥着重要作用。如前所述,那些希望将问题排除在QA之外的人希望找到解决方案从而能够:

 

  1. 将快速反馈循环集成到测试和开发中
  2. 在开发人员编写代码时在IDE中扫描代码

 

在测试和开发之间构建一个持续的反馈循环可能代表了开发人员日常工作的重大转变。

 

虽然“DevSecOps”并不完全相同,但是受管制行业的开发团队可以通过将合规性测试集成到DevOps发布周期中来获得降低成本的益处。

这篇关于软件合规性团队应借鉴DevSecOps实践的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/494792

相关文章

基于MySQL Binlog的Elasticsearch数据同步实践

一、为什么要做 随着马蜂窝的逐渐发展,我们的业务数据越来越多,单纯使用 MySQL 已经不能满足我们的数据查询需求,例如对于商品、订单等数据的多维度检索。 使用 Elasticsearch 存储业务数据可以很好的解决我们业务中的搜索需求。而数据进行异构存储后,随之而来的就是数据同步的问题。 二、现有方法及问题 对于数据同步,我们目前的解决方案是建立数据中间表。把需要检索的业务数据,统一放到一张M

软件设计师备考——计算机系统

学习内容源自「软件设计师」 上午题 #1 计算机系统_哔哩哔哩_bilibili 目录 1.1.1 计算机系统硬件基本组成 1.1.2 中央处理单元 1.CPU 的功能 1)运算器 2)控制器 RISC && CISC 流水线控制 存储器  Cache 中断 输入输出IO控制方式 程序查询方式 中断驱动方式 直接存储器方式(DMA)  ​编辑 总线 ​编辑

系统架构师考试学习笔记第三篇——架构设计高级知识(20)通信系统架构设计理论与实践

本章知识考点:         第20课时主要学习通信系统架构设计的理论和工作中的实践。根据新版考试大纲,本课时知识点会涉及案例分析题(25分),而在历年考试中,案例题对该部分内容的考查并不多,虽在综合知识选择题目中经常考查,但分值也不高。本课时内容侧重于对知识点的记忆和理解,按照以往的出题规律,通信系统架构设计基础知识点多来源于教材内的基础网络设备、网络架构和教材外最新时事热点技术。本课时知识

【STM32】SPI通信-软件与硬件读写SPI

SPI通信-软件与硬件读写SPI 软件SPI一、SPI通信协议1、SPI通信2、硬件电路3、移位示意图4、SPI时序基本单元(1)开始通信和结束通信(2)模式0---用的最多(3)模式1(4)模式2(5)模式3 5、SPI时序(1)写使能(2)指定地址写(3)指定地址读 二、W25Q64模块介绍1、W25Q64简介2、硬件电路3、W25Q64框图4、Flash操作注意事项软件SPI读写W2

免费也能高质量!2024年免费录屏软件深度对比评测

我公司因为客户覆盖面广的原因经常会开远程会议,有时候说的内容比较广需要引用多份的数据,我记录起来有一定难度,所以一般都用录屏工具来记录会议内容。这次我们来一起探索有什么免费录屏工具可以提高我们的工作效率吧。 1.福晰录屏大师 链接直达:https://www.foxitsoftware.cn/REC/  录屏软件录屏功能就是本职,这款录屏工具在录屏模式上提供了多种选项,可以选择屏幕录制、窗口

HomeBank:开源免费的个人财务管理软件

在个人财务管理领域,找到一个既免费又开源的解决方案并非易事。HomeBank 正是这样一个项目,它不仅提供了强大的功能,还拥有一个活跃的社区,不断推动其发展和完善。 开源免费:HomeBank 是一个完全开源的项目,用户可以自由地使用、修改和分发。用户友好的界面:提供直观的图形用户界面,使得非技术用户也能轻松上手。数据导入支持:支持从 Quicken、Microsoft Money

Prometheus与Grafana在DevOps中的应用与最佳实践

Prometheus 与 Grafana 在 DevOps 中的应用与最佳实践 随着 DevOps 文化和实践的普及,监控和可视化工具已成为 DevOps 工具链中不可或缺的部分。Prometheus 和 Grafana 是其中最受欢迎的开源监控解决方案之一,它们的结合能够为系统和应用程序提供全面的监控、告警和可视化展示。本篇文章将详细探讨 Prometheus 和 Grafana 在 DevO

springboot整合swagger2之最佳实践

来源:https://blog.lqdev.cn/2018/07/21/springboot/chapter-ten/ Swagger是一款RESTful接口的文档在线自动生成、功能测试功能框架。 一个规范和完整的框架,用于生成、描述、调用和可视化RESTful风格的Web服务,加上swagger-ui,可以有很好的呈现。 SpringBoot集成 pom <!--swagge

PDF 软件如何帮助您编辑、转换和保护文件。

如何找到最好的 PDF 编辑器。 无论您是在为您的企业寻找更高效的 PDF 解决方案,还是尝试组织和编辑主文档,PDF 编辑器都可以在一个地方提供您需要的所有工具。市面上有很多 PDF 编辑器 — 在决定哪个最适合您时,请考虑这些因素。 1. 确定您的 PDF 文档软件需求。 不同的 PDF 文档软件程序可以具有不同的功能,因此在决定哪个是最适合您的 PDF 软件之前,请花点时间评估您的

梳理2024年,螺丝钉们爱用的3款剪辑软件

这年头,视频到处都是,就跟天上的星星一样数不清。不管你是公司里的新面孔,还是职场上的老狐狸,学会怎么剪视频,就好比找到了赢的秘诀。不管是给上司汇报工作,展示你的产品,还是自己搞点小视频记录生活,只要是剪辑得漂亮,肯定能一下子吸引大家的目光,让人记得你。咱们今天就来侃侃现在超火的三款视频剪辑工具,尤其是PR剪辑,你肯定听说过,这货在剪辑界可是大名鼎鼎,用它剪视频,既专业又麻利。 NO1. 福昕轻松