在“云”中创建新的网络安全范式——安全即代码(SaC)

最新推荐文章于 2023-07-09 13:20:12 发布
最新推荐文章于 2023-07-09 13:20:12 发布
阅读量87 收藏
点赞数
文章标签: web安全 运维 网络安全 系统安全 Powered by 金山文档
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2MTAxOTg1OQ==&mid=2650057123&idx=1&sn=b8de354092ad70c08ba515ceac234c69&chksm=f260c81fc5174109d94ae3f8a6f781096d52027d3cf4998718e828a0f344f1ae7f29f245ed4e&token=1355835188&lang=zh_CN#rd
版权

当越来越多的数据迁移到云端,企业使用的网络安全策略也要迭代更新。目前,许多企业开始使用一种相对新颖的网络安全策略——安全即代码(SaC)。

安全即代码的兴起

安全即代码(Security as Code,SaC)于2020年作为资源工具集引入,旨在帮助保护软件开发生命周期。由于SaC可以产生具有持续可验证控件的可分析安全配置,因此慢慢被采纳,并成为现代安全态势的一部分。

SaC将安全性作为DevOps的关键部分进行集成,在开发过程中,通过确定位置建立有效的安全控制。它要求开发人员在代码中,指定基础架构平台和配置,而不是在代码完成后对其进行处理,从而确保实施安全检查、测试和拦截器的高效,而不延迟和对代码与基础设施平台进行不必要的更改。

SaC的优势在于提供了满足企业独特安全要求所需的配置。虽然很多安全漏洞的发生是由于意外和未知风险,但也有因为未部署特定安全控制措施而发生的。

SaC作为代码策略与基础设施相关联,主要源于它从手动流程转向更高效地保护软件定义的网络和系统(尤其是虚拟机、容器及其相关软件)。

如何实施SaC

SaC并不难实现。执行操作的一种基本方法是在CI/CD管道和代码中设置安全规则、工具、策略、测试、扫描和代理。其中,在正式执行前可以先提交一段代码进行自动测试,以便开发团队进行评估和纠正。

SaC的主要目标是在开发团队编写代码时持续执行安全测试,以确保在准备代码时(而不是在完成后)修复问题并优化性能,为企业节省时间、精力和资源。

SaC是迈向DevOps中集成安全性的一大步,它有涉及到与DevSecOps框架一致的组件,主要是:

01访问控制和策略管理

SaC实施的关键第一步是定义访问控制和策略管理,来为安全需求提供明确参考。通过这一点,当授权转移到外部库(符合既定的安全策略)时,开发团队可以将重点放在关键功能上。

通过建立安全策略的中央存储库,开发人员可以监控和验证授权的通用平台,这不仅加快了开发进程,同时又不损害安全性。

02漏洞扫描

这是关于验证应用程序中每个组件安全性及其在整个生命周期中的部署。其中,用于确定漏洞的威胁情报不需要经由企业开发,可以基于OWASP漏洞和其他威胁情报源或网络安全框架。

而且,漏洞扫描必须是一个自动且持续的过程,才能保持有效。例如,跨站点脚本和SQL注入的检测可能很复杂、重复且乏味。

03安全测试

SaC需要有一个安全测试组件,以检测可能导致应用程序完整性、可用性以及其包含或处理数据隐私或机密性的问题。安全测试不是漏洞测试的冗余,它不仅检测和堵塞可能被威胁参与者利用的安全漏洞,还解决了配置错误、数据不安全、公司机密暴露的可能性、应用程序错误和不可接受的停机率。

SaC的优势

SaC并不是为了取代企业用于保护 IT 资产的网络安全系统,而是侧重于应用程序安全,在保护应用程序方面提供更深入的信息。它能够快速、全面地适应安全需求变化,开发人员通过及时的自动安全修复,来获得来来降低与应用程序修补和网络攻击损害相关的成本。

此外,SaC还制定了一个框架,以促进安全、开发和运营团队之间的协作。它不仅缩短发布周期、降低成本和无缝操作,而且让企业和客户受益。更快的产品发布、安全补丁、其他应用更新和更好的整体安全性,可创造更好的客户体验。

总结

SaC不能替代现有的安全态势管理系统,它更重视在应用程序开发过程中的安全必要性,为应用程序和整体企业IT安全性创造更多优势。

更多推荐

如何通过零信任架构实现 API 安全?

网络安全 | ChatGPT爆火背后的安全威胁可能超出想象

应急响应 | 完善企业网络安全应急响应计划的工具推荐

了解更多,持续关注安胜网络哦~

安胜ANSCEN
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MOSN原生网络数据平面源代码
03-18
MOSN是一款使用Go语言开发的网络代理软件,作为原生的网络数据平面,旨在为服务提供多协议、模块化、智能化、安全的代理能力。MOSN是Modular Open Smart Network-proxy的简称。MOSN可以与任何支持xDS API的Service Mesh集成,亦可以作为独立的四/七层负载均
gdpr-tracker:众包目录,跟踪服务及其子处理器的合规性和安全性实践
04-29
是一个众包目录,可让公司和消费者更轻松地实时跟踪其分包商和服务的数据处理实践。 该存储库保存目录显示的所有服务。 我们坚信,企业和客户应易于使用数据处理方法。 您可以按照添加服务。 格式 我们使用JSON模式来验证数据并保持高水平的数据质量。 请在找到架构。 场地 类型 格式 必需的 选项 描述 ID 细绳 * 识别公司的唯一ID 名称 细绳 * 公司名称 描述 细绳 * 服务说明 网站 细绳 网址 * 服务网站 applicationUrl 细绳 网址 * 服务申请 类别 大批 * 服务所属的类别 iconUrl 细绳 网址 * 服务图标的网址(建议尺寸为400x400px)。 必须为HTTPS 国家总部 细绳 ISO ALPHA-2代码 * 总部国家 gdprReadyStatus 枚举 * 未知进行准备好不合规 该服务的GDPR准备状态 pr
安卓备份模块的代码安全问题分析
01-20
随着移动端备份服务的日益普及,为保障用户隐私数据不被泄露,研究第三方应用调用备份软件开发工具包(SDK,software development kit)的安全问题变得尤为重要。通过对目前国内外安卓应用市场调用备份服务的普遍性进行调研,总结出4个当前主流的安卓备份SDK。分析其SDK实现代码和官方文档,对比使用情况、协议和接口功能,总结和发现了第三方应用错误调用SDK以及备份SDK自身存在的代码安全问题,同时向第三方开发者提供了相应的解决方案。
matlab代码替换-notebook:好记性不如烂笔头
05-26
matlab 代码替换 #Flash #Dart ####正则 #JavaScript && Ndoe 模块库 #Node #HTML #CSS #Canvas & SVG #Meteor #Vue #React #前端框架 #前端模块化 #MongoDB #Flash #Android # 技术网站 #GIT #devops #rbac #数据结构与算法 #机器学习 Matlab R语言 #大数据 #系统架构 #服务提供商 #在线代码编辑 #工具类 #常用命令 允许HTTPS连接:443端口 iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT ssh -R 80:192.168.1.x:80 -b 0.0.0.0 -p 22 username@182.92.88.x -N #网络安全 #数字证
MQtt_WPF服务演示代码
01-15
MQtt_WPF服务演示代码,一个全托管的服务,帮助建立设备与端之间安全可靠的双向连接,以支撑海量设备的数据收集、监控、故障预测等各种物联网场景
ChatGPT技术原理解析:从RL之PPO算法、RLHF到GPT4、instructGPT
热门推荐
结构之法 算法之道
01-15 18万+
本篇ChatGPT笔记会全力做到,通俗易懂且循序渐进(尽最大努力让每一个初学者哪怕是文科生都能没有障碍的读懂每一字一句、每一个概念、每一个公式) 一方面,对于想了解ChatGPT背后原理和如何发展而来的,逐一阐述从GPT/GPT2/GPT3到强化学习、PPO算法,最后再到instructGPT、ChatGPT、SeqGAN 且本文之前,99%的文章都不会把PPO算法从头推到尾,本文会把PPO从零推到尾,按照“RL-策略梯度-重要性采样(重要性权重)-TRPO(增加信任区域和KL散度约束)-PPO”的顺序逐步
Meta-Learning in Neural Networks: A Survey元学习最综述(翻译)
qq_38680752的博客
06-02 8639
近年来,元学习领域,即“为学习而学习”,已经引起了人们极大的兴趣。与传统的人工智能方法不同,传统的人工智能方法是使用固定的学习算法从头开始解决给定的任务,元学习的目的是改进学习算法本身,考虑到多次学习的经验。这个范例提供了一个机会来解决深度学习的许多传统挑战,包括数据和计算瓶颈,以及泛化的基本问题。在这项调查,我们描述了当代元学习的景观。我们首先讨论元学习的定义,并将其定位于相关领域,如转移学习、多任务学习和超参数优化。然后我们提出了一种的分类方法,它提供了当今元学习方法的更全面的细分。我们综述了元学习
【一千个论文合集】计算机科学的26个细分领域近年必读论文集合
AI_Conf的博客
05-11 1万+
AMiner必读论文是一个可以帮您了解某个领域、机构、期刊、会议的学术专辑,包括必读论文和代表学者,由AI初筛+学者复核后提供给您,您可以收藏为自己的论文清单
长长见识,编程语言大赏
yang1fei2的博客
11-07 3207
随着计算机技术的不断发展,各种各样的编程语言层出不穷,有的语言大红大紫有的语言寂寂无名。这里就梳理一下那些出现过的编程语言,可能不一定都用得到,长长见识就行。当别人说起来的时候至少听说过,不会一脸懵逼。 编程语言会根据编程范式、应用的平台、应用的场景三个维度进行分类,方便大家理解的记忆。 编程范式 依据编程范式编程语言分过程式、面向对象、多范式、函数式、逻辑式。 过程式编程语言 Fortran FORTRAN语言是Formula Translation的缩写,意为“公式翻译”。它是为科学、工
剪贴板数据管理工具 Hot Copy Paste 7.5.0 文多语免费版.zip
05-26
Hot Copy Paste 文特别版无限制复制粘贴。所有版本的 Windows 都可以将信息(如文本和图片)从一个程序剪切,复制并粘贴到另一个程序。 Windows 剪贴板在临时存储存储您的信息,无论是来自文字处理器的图片或文本片段,使您能够将该信息片段从一个地方移动到另一个地方。然而,问题是,Windows 剪贴板一次只能适合一个代码段。如果你需要通过 Windows 剪贴板传输大量的片段,你将复制,切换程序,粘贴,然后回到原来的程序,并复制下一个片段。这是非常无聊和耗时。 Hot Copy Paste 文特别版Hot Copy Paste 文特别版 Hot Copy Paste 是 Windows 剪贴板的高度高级扩展。删除 Windows 剪贴板的烦人的限制,剪贴板管理器允许您安全地复制和粘贴无限量的信息。即使您重启动电脑后,您剪切和复制的数据也不会丢失! Hot Copy Paste 文特别版特点: 存储在 Windows 复制或剪切的所有内容 热复制粘贴将自动存储您复制,剪切和粘贴的信息,允许您随时重复使用该片段 – 即使您的电脑重启动!剪贴板实用程序存储您可以剪切或复制的所有内容,包括格式化的文本,网页,图片,表格和对象,允许您访问之前复制的文本。 分组,排序和搜索代码段 有成千上万的片段,你会迟早迷路。热复制粘贴通过提供对片段的方便的分组,排序和过滤来帮助您浏览剪贴板。还支持全文搜索。 喜欢的片段 如果你使用某些信息的频率比其他更多,将它们放入收藏夹更容易访问。您甚至可以设置Windows热键快速粘贴您最喜欢的片段,而无需打开热复制粘贴剪贴板管理器。 只为你的眼睛 不想让其他人访问您的代码段?热复制粘贴可以通过安全的BlowFish加密保护您的代码段。具有强大的448位密钥,热复制粘贴提供的保护将防止没有正确的密码的任何人访问您保存的片段。为了增加安全性,您可以为隐藏其内容的每个代码段分配显示名称,并将某些程序从记录排除。 与 Windows 剪贴板不同,热复制粘贴提供了许多方便的功能。 收藏夹可以方便地分组,以便快速访问。 可以在剪贴板管理器编辑片段。 拖放支持:只需将代码片段从 Hot Copy Paste 拖放到任何程序。 支持与 Windows Clipboard 一起使用的所有程序。 广告素材粘贴:如果目标程序不支持Windows剪贴板,则按照纯文本,粘贴HTML代码或粘贴文本的顺序删除所有格式化和粘贴信息。 以纯文本,HTML或RTF格式保存文本片段,并以各种格式存储图像。 可自定义的声音:在剪贴板更改或剪贴板管理器启动时设置音频通知。 Hot Copy Paste 支持操作系统: Windows 2000 Windows XP Windows Vista Windows 7(32位/ 64位) Windows 8(32位/ 64位) Windows 8.1(32位/ 64位) Windows 10(32位/ 64位)
模型matlab代码
01-03
模型是一种描述非确定性关系的数学方法,在模糊数学和统计学的基础上,将模糊性和随机性相结合,构成定性描述和定量描述之间的相互映射关系,作为自然语言和数据语言的转换基础。模型的数字特征用期望值Ex、熵En和超熵He。期望值Ex是所有滴所在数域的重心位置,反映了最能够代表这个定性概念的量在数域上的坐标;熵En是表示定性概念亦此亦彼性的变量,反映了数域可被语言值接受的数据范围,即模糊度,同时还反映了在数域滴能够代表这个语言值的概率;超熵He反映每个数值代表这个语言值确定性的凝聚性和滴的凝聚程度。
代码GoogleAppEngine编程指南
07-23
资源名称:代码Google App Engine编程指南内容简介:《代码:Google App Engine编程指南》介绍了如何将应用程序构建为服务,如何使用App Engine管理持久化数据,如何构建可在用户浏览器上运行的、动态的、可交互的用户界面。如何管理Web应用的安全性,如何用App Engine与端运行的其他服务交互。 《代码:Google App Engine编程指南》 资源太大,传百度网盘了,链接在附件,有需要的同学自取。
ssm公务用车管理智慧服务监管平台毕业设计.zip
08-20
采用java技术构建的一个管理系统。整个开发过程首先对系统进行需求分析,得出系统的主要功能。接着对系统进行总体设计和详细设计。总体设计主要包括系统功能设计、系统总体结构设计、系统数据结构设计和系统安全设计等;详细设计主要包括系统数据库访问的实现,主要功能模块的具体实现,模块实现关键代码等。最后对系统进行功能测试,并对测试结果进行分析总结。 包括程序毕设程序源代码一份,数据库一份,完美运行。配置环境里面有说明。
基于改进SAC码的OCDMA波分无源网络安全研究.pdf
09-20
基于改进SAC码的OCDMA波分无源网络安全研究.pdf
人工智能学术顶会——NeurIPS 2022 议题(网络安全方向)清单、摘要与总结
最新发布
漏洞战争
07-09 3009
按语:随着大模型的崛起,将AI再次推向一个高峰,受到的关注也越来越大。在网络安全领域,除4大安全顶会外,一些涉及AI的安全话题,包括对AI的攻防研究,以及应用AI做安全的研究方向,也会发表在AI顶会上。但是,像NeurIPS 2022年的议题就有2834个(2023年还在 call for papers),手工翻一遍都得很久,何况还要分类出安全主题的,更是费劲,因此我利用AI去做主题分类,把感兴趣...
An Optimistic Perspective on Offline Reinforcement Learning
rockray21的博客
12-06 465
An Optimistic Perspective on Offline Reinforcement Learning摘要1 introduction2 Off-policy Reinforcement Learning 如有错误,欢迎指正 本文翻译为机翻,仅作初步了解学习使用,需要用到的时候再回来整理。 如有侵权,请私信本人。 原文链接:https://arxiv.org/pdf/1907.04543.pdf 参考链接:https://tech.sina.com.cn/roll/2020-04-15/do
论文阅读:Meta-Learning in Neural Networks: A Survey
王小波的博客
07-06 5319
题目:Meta-Learning in Neural Networks: A Survey 论文地址:https://arxiv.org/abs/2004.05439 作者:Timothy Hospedales, Antreas Antoniou, Paul Micaelli, Amos Storkey 发表:In arXiv 2020. 代码:无 摘要: 元学习(学会学习)领域近年来的兴趣急剧上升。 与传统的人工智能方法相反,传统的人工智能方法是使用固定的学习算法从头开始解决给定的任...
关于学习Perl
佛系程序员
07-20 2685
关于学习Perl 1.小骆驼 2.大骆驼 3.虎豹书 4 Perl 學習手札 http://easun.org/perl/perl-toc/ 这三本要完整看完,所有书上的例子弄懂,自己实践一下,能结合具体工作更好。 Perl语言入门(第三版) 又叫小骆驼。初学
SAC算法的动作选择python代码
06-01
因此,SAC算法的Actor网络输出的标准差向量不是固定的常数,而是由两个部分组成:一个是网络输出的标准差向量,另一个是一个固定的常数,即log_std_normal,它表示标准正态分布的标准差的对数。具体实现时,需要将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值