说到自动化渗透测试平台,悬镜小编想起来近年来流行的一种安全理念:“DevSecOps”,一种全新的安全理念与模式,从DevOps的概念延伸和演变而来,其核心理念为安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发到运营整个业务生命周期的每一个环节。
透明化和自动化是DevSecOps实践的核心要求。
DevSecOps的出现是为了改变和优化之前安全工作的一些现状,比如安全测试的孤立性、滞后性、随机性、覆盖性、变更一致性等问题;通过固化流程、加强不同人员协作,通过工具、技术手段将可以自动化、重复性的安全工作融入到研发体系内,让安全属性嵌入到整条流水线。
通过加强内部安全测试,主动搜寻安全漏洞,及时修复漏洞、控制风险,实现与业务流程的良好整合。
但目前来看,研发与运维是割裂的。导致这种情况出现的最大原因:业务负责人认为安全是阻碍了整个进度往前推进,安全人员又认为随着业务量增加,如果内部不做好安全风险控制,很容易出现网络安全攻击事件,等真正漏洞爆发出来再去解决的时候,就发现不论是发现问题的成本还是修复问题的成本都是非常高的。