极狐(GitLab) 马景贺:DevSecOps落地实践的挑战与应对之道

最新推荐文章于 2024-01-23 16:11:19 发布
最新推荐文章于 2024-01-23 16:11:19 发布
阅读量3k 收藏 2
点赞数
文章标签: 云原生 kubernetes DevOps DevSecOps devops
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46700908/article/details/125197796
版权

嘉宾 | 马景贺   整理 | 西京刀客

出品 | CSDN云原生

为什么是DevSecOps而不是DevOps?安全“左移”是要逼疯开发者吗?安全持续自动化真能搞定安全吗?人人为安全是一句口号吗?

2022年5月24日,在线上举行的云原生系列Meetup·北京站上,针对这些连续发问,极狐(GitLab)DevOps技术布道师马景贺给出了详细解答。

 

Why DevSecOps

DevOps从诞生到传至国内,相关的会议、文章、书籍数不胜数,当前也有非常多的企业在做DevOps转型。

那为什么要讲DevSecOps而不是DevOps呢?是因为DevOps不香了吗?

DevOps是指Dev和Ops两个Team通过有效的协作,加速整个软件研发生命周期,加速交付进程。既然如此,对于DevSecOps来说,是不是也就是把Dev、Sec、Ops这三个词融在一起就可以落地实现DevSecOps呢?其实也没有那么简单。

Security从“幕后”到“台前”

在DevOps时代,大家已经认识到应用程序的安全性了。但对于之前的软件开发模式来说,其软件交付生命周期比较长,传统的保障安全的方法基本都是被放在整个软件开发生命周期的后期集中进行。

Security逐渐受重视

首先,随着企业积极地向云上迁移,这个过程中有非常多的安全问题,如数据安全、网络安全、存储安全等。所以在此过程中,Security越来越受到重视。

其次,开源也导致大家现在把安全话题又提出来了。一些报告数据显示,所有企业其实都用了开源,比如Linux、Git、Android。从数据来看,现在企业内部使用的软件70%以上是开源的。因此,安全一下子进入人们的视野。

Security is money</

最低0.47元/天 解锁文章
CSDN云原生
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
gitlab-secrets:在GitLab存储库中检测秘密
05-17
GitLab的秘密 GitLab提供了一种方法来特定文件名的文件,但这还远远不够,因为它不会扫描文件中的机密信息。 AWS的git-secrets( )提供了一种扫描文件的方法,但它要求用户将其安装在本地计算机上。 很好,但是很...
干货 | DevSecOps在携程的最佳实践
携程技术
07-09 1459
作者简介Living,携程高级基础安全工程师,关注应用安全、渗透测试方面的技术。一、DevSecOps面临的挑战作为业务覆盖机票、酒店、度假、汽车票、火车票、支付等各个方面,为全球用户...
DevSecOps 落地三部曲|小孩子才做选择,GitLab 安全、高效全都要
GitLab 中国发行版
09-09 1554
GitLab DevOps 布道师马景贺带来《 DevSecOps:始于工具,终于数据,谋全局而非谋一隅》,分享如何利用 DevSecOps 来构建完整、高效的安全防护体系。
从方法论到最佳实践,深度解析企业云原生 DevSecOps 体系构建
最新发布
阿里云云栖号
01-23 1006
安全一直是企业上云关注的核心问题。随着云原生对云计算基础设施和企业应用架构的重定义,传统的企业安全防护架构已经不能够满足新时期下的安全防护要求。
DevSecOps软件安全开发实践
华为云官方博客
04-24 1115
DevSecOps 的理念是将安全防护流程有机地融入传统的 DevOps 流程中,为研发安全提供强有力保证,安全工具支撑研发阶段安全要求落地
安全至上:落地DevSecOps最佳实践你不得不知道的工具
weixin_49715102的博客
08-02 917
此外,随着越来越多的企业采用DevOps方法,自动化和集成软件开发和IT团队之间的流程,这让传统的安全工具不再适用。现在,开发人员需要将安全措施嵌入到开发工作流程的每个阶段中,并通过安全左移在SDLC早期预防安全风险。当涉及到DevOps工作流的安全性时,这种做法称为DevSecOps。......
周纪海:从 DevOps 到 DevSecOps落地实践
CODING 博客
10-09 1296
2020 年 9 月 25、26 日,GOPS 全球运维大会(深圳站)举办圆满成功。在本届大会上,来自腾讯、阿里、京东、平安的行业内顶尖专家面向互联网及传统行业、广大运维技术人员,传播先进技术思想和理念,分享业内最佳实践。作为腾讯云旗下 DevOps 一站式研发管理平台提供商,CODING 受邀参与了本届大会。在两天时间里,CODING 与 1000 多位现场来宾进行了深入交流;CODING CEO 张海龙接受了媒体专访,简要介绍 CODING 产品和分享 CODING 的愿景;CODING 资深技术专家周
gitlab-cli:在gitlab中从命令行创建合并请求
01-30
gitlab-cli gitlab-cli是使用JavaScript创建的命令行实用程序。 灵感来自。 它试图提供命令,从而使从命令行更轻松地使用gitlab。 使用gitlab-cli创建合并请求非常简单$ lab merge-request安装使用npm安装$ npm ...
DevOps-GitLabCI:GitLab-CI实践文档
04-16
Gitlab CI实践本项目所有文章转载于:课程简介GitLabCI 轻量级,不需要复杂的安装手段。配置简单,与gitlab可直接适配。实时构建日志十分清晰,UI交互体验很好。使用 YAML 进行配置,任何人都可以很方便的使用。...
gitlab-runner:使用ansible安装配置gitlab-runner的食谱
01-30
GitLab Runner是GitLab持续集成(CI/CD)系统的关键组成部分,它负责执行GitLab CI/CD配置文件(.gitlab-ci.yml)中的任务。Ansible是一个自动化运维工具,能够帮助我们在多台机器上进行配置管理和应用部署。将两者...
默安科技DevSecOps落地实践.pdf
07-29
默安科技DevSecOps落地实践.pdf
openproject-gitlab-integration:用于与Gitlab集成的OpenProject模块
03-15
《OpenProject与GitLab集成模块详解》 OpenProject是一款开源的项目管理软件,它提供了丰富的功能,如任务管理、时间追踪、文档共享等,帮助企业或团队高效协作完成项目。而GitLab则是一款广受欢迎的代码托管平台,...
简述DevSecOps优势和最佳实践
weixin_61896252的博客
03-17 291
从开发周期就开始引入,发现问题后就立即处理,在引入其他依赖关系前,解决安全问题,同时有助于缩短修补漏洞的时间,还可确保并简化合规性,使其不必为安全性进行追溯。能使参与交付的每个人都熟悉安全性的基本原则,开发人员了解线程模型和合规性检查,并了解如何衡量风险以及如何实施安全控制。可跟踪性旨在跟踪开发周期中的配置项,确定代码实现需求的位置,有助于实现合规性,确保安全。DevSecOps的两个主要优势就是速度与安全性,能更快的交付更安全的代码,成本更低。5.可重复、自适应的过程。能快速管理新发现的安全漏洞。
DevSecOps:安全运营不可或缺的实践(一)
MingXS2021的博客
02-07 651
DevSecOps 不是 DevOps 的备选方案。它只是扩展了 DevOps 背后的核心概念,即开发人员和 IT 团队应该紧密合作,而不是各自为政,单独行事,由此加入安全方案。
一文读懂 DevSecOps:工作原理、优势和实现
分享平台工程、应用部署的最佳实践
10-26 2009
DevSecOps 是描述开发、安全和运维集成的术语。它是一种文化、自动化和平台设计策略,强调安全是整个 IT 生命周期中的共同责任。DevSecOps 从一开始就考虑到安全性来创建应用程序和基础设施的做法,同时涉及自动化安全检查,以免减慢当前的 DevOps 流程。为了满足安全目标,安全团队为持续集成安全选择和配备合适、正确的工具来满足必要的保护。
简述DevSecOps 优势和最佳实践
weixin_53150482的博客
03-18 69
DevSecOps 是一种软件工程方法,该方法定义了在软件开发过程中我们应当如何进行开发,如何进行满足安全要求,如何运行,进行了一系列的定义。该方法可以帮助我们更快的安全的完成高质量的代码。
基于GitLab搭建DevSecOps流水线
武天旭的博客
05-20 1481
GitLab是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建Web服务,可通过Web界面访问公开的或者私人的项目。它拥有与GitHub类似的功能,能够浏览源代码,管理缺陷和注释,也可以自定义流水线(pipeline),在流水线中配置CI/CD以及集成软件质量测试和安全测试工具。安装环境:CentOS安装要求:内存大于2GB登录GitLab,用户名是root,初始密码保存在/etc/gitlab/initial_root_password文件中。
DevSecOps | GitLab 动态应用程序安全测试(DAST)使用指南
GitLab 中国发行版
08-25 3546
DAST 是 Dynamic Application Security Testing 的缩写,也即动态应用程序安全测试,属于应用程序安全测试的一种,与 SAST 相对应,属于黑盒测试。
漏洞评估的优先级决定了网络安全保护的成本
HBohan的博客
07-22 383
黑客一直都在扫描互联网中的漏洞,如果你不想让你的组织成为受害者,那么你需要成为第一个发现这些漏洞的人。换句话说,你必须采取主动的方法来管理漏洞,而实现此目标的关键第一步就是执行漏洞评估。 2021年的漏洞评估工具 漏洞评估是由扫描程序执行的自动化过程,这使得它们可以被广泛的受众使用。许多扫描仪都是面向网络安全专家的,但有些解决方案是为没有专门安全团队的组织中的IT经理和开发人员量身定制的。 漏洞扫描程序有多种类型:有些擅长于网络扫描,有些擅长于Web应用程序,IoT设备或容器安全性。如果你是一家小型企业,.
gitlab协同工作1
08-04
摘要修订历史版本日期原因创建文档目 录1. 概述 11.11.2本文中所涉及到得一些名词的解释 12. 准备工作 12.1安装软件 12.1.12.1.22.2

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值