浅谈安全“左移”,2022 年的趋势

最新推荐文章于 2024-05-23 20:34:33 发布
最新推荐文章于 2024-05-23 20:34:33 发布
阅读量1k 收藏 5
点赞数 4
分类专栏: 云安全合规 文章标签: 安全架构 开源软件 云原生 devops
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wolaisongfendi/article/details/127203396
版权

未来虽然无法预知。但某些事情的发展方向已经显而易见了。我们可以看到 2022 年出现的一个新的趋势-安全 “左移”。

为什么这么说?因为这件事情现在时机已经足够成熟。

还记得瀑布开发方法吗?瀑布是一种软件开发方法,它将软件开发生命周期 (SDLC) 过程分解为线性、连续的步骤。在这种现在已经过时的方法中,安全测试被降级到最后,通常在生产环境部署之前。虽然多年来它一直是一种流行的方法,但在今天,它已经脱节了,部分原因是项目生命周期的后期才能看到结果。这种缺陷推动了向敏捷开发流程的转变,因此诞生了一种以 DevOps 为中心的方法论,其中安全测试(以及其他元素)被左移到 软件开发生命周期的开始阶段,在软件开发的整个过程中迭代的执行,而不是仅在生产上线前那一刻。

下面我们将具体讨论一下什么是安全 “左移”,以及安全“左移”带来的优势有哪些。

什么是安全 “左移”?

传统上,安全检测一般只有在必要时才需要开展。比如,当企业需要遵守SOC 2来完成交易时,解决安全性要求就成为当务之急。如果一家公司需要ISO 27001来吸引新的投资者,那么安全就必须得到加强。

这种“事后诸葛亮”的心态将安全合规视为需要跨越的一大障碍。如果你跳得不够高,很快你就会摔倒在地。

但问题是,如果从正确的角度来看,安全合规可以成为增长的驱动力。更具体地说,一个全面的安全合规计划,它主动考虑到公司的增长方向&#

最低0.47元/天 解锁文章
HummerCloud云原生
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
软件安全测试:安全左移的痛点与要点
起码有故事
08-09 737
软件开发安全,是网络安全行业近年想积极探索的技术领域,虽然这个技术领域已经存在了将近20年时间,但是直到2020年2月的RSAC大会,开发安全才真正成为网络安全行业的关注热点。同样,2019年12月1日正式实施的《网络安全等级保护条例2.0版》也给软件开发安全领域注入了一针“强心剂”,业界和政策对“安全左移”和DevSecOps的空前重视让无数网络安全从业者看到了新的机会。 笔者团队通过对软件开发安全的认知和对软件安全测试的摸索,并结合行业主流的软件安全测试技术进行了实践。本文根据笔者团队的实践经验为大家分
网络安全运营思路-安全左移
望江湖,且看云卷云舒
06-19 849
安全左移的内容越来多的在客户和厂商之间成为了聊天沟通的主打菜。那安全左移能解决什么问题?都包括了什么呢?又如何开展呢?解决的问题:将原先在生产环境中的一部分漏洞提早的发现,在开发、测试阶段开展修复工作,目的是降低生产环境解决安全风险会花掉大量的时间、金钱等成本,也会造成更大的安全风险。安全左移的工作分为:静态源代码安全审计(SAST)、开源组件安全检查(SCA)、交互式应用系统检查(IAST)、动态安全扫描检查(DAST);下面主要以 SAST和SCA为例,理清开发安全中的工作路径。安全左移工作路径图SAS
什么是安全左移如何实现安全左移
最新发布
学而思(xiejava的blog)
05-23 1150
在传统的软件开发流程中,安全测试和评估通常在开发周期的后期进行,比如在测试阶段或部署前。然而,这种方法往往会导致在产品即将发布时才发现安全问题,从而增加了修复成本和风险。安全左移(Shift-Left Security)是一种软件开发实践,其核心思想是将安全措施提前到软件开发生命周期(SDLC)的更早阶段。安全左移的目标是在软件开发的早期阶段,甚至是在编码之前,就开始考虑和实施安全措施。这样,潜在的安全问题可以在它们变得更加根深蒂固和难以修复之前被发现和解决。
云原生场景下的安全左移
武天旭的博客
03-10 887
镜像安全是开发安全的最右侧,也是运营安全的最左侧,位置非常关键。保证镜像和仓库的安全,对于贯彻开发运营一体化的安全具有重要的意义。要保证应用全生命周期的安全,安全左移后还需要考虑重新将安全控制右移,通过运行时检测和响应及时发现并处置威胁。
谈安全测试左移三板斧
hobby云说
06-28 815
1、背景 我在闲谈自动化应用安全测试工具中提到这么句话“如果能将安全融到DevOps里,又不影响现有的状态,那当然是最好不过了”,这个时候你可能就有疑问了,现有的安全测试模式是怎样的,为啥要做改变呢?为啥非要融到DevOps里面呢?我们来盘盘安全测试几大经典痛点。 DevOps的终极目标:提升软件交付的质量內建以加速流程。那么问题来了,这里的质量侧重点在功能,在于功能能用,好用。那么交付物的安全要如何保证呢?以前基本都是在程序/软件上线后,对其进行渗透、漏扫等待工作,来排除一...
2020国家网安周:安全左移是智能车联网发展必由之路
qcloud_security的博客
09-17 1208
9月14日-20日,由中央宣传部、中央网信办、工信部、公安部等多部委联合主办的2020国家网络安全宣传周正式举行。期间,在中央网信办网络安全协调局的指导下,中国网络安全产业联盟与腾讯联合主办“网络安全会客室”节目,探讨网络安全政策制定、风险治理、技术产业发展等热点议题。 9月16日,技术产业篇“网络安全视角下的智能车联网”播出,本期节目邀请了中国信息通信研究院泰尔终端实验室信息安全部副主任国炜、腾讯产业安全运营部总经理吕一平、中国电子技术标准化研究院信息安全研究中心高级工程师龚洁中、比亚迪第五事业部软..
云原生安全左移实践.pdf
04-10
云原生基础设施引入新的安全⻛险 镜像是重要的攻击手段 供应链攻击传播快、影响范围广 供应链攻击事件 传统的安全方法跟不上软件迭代速度 传统的安全组织模式无法适应DevOps流程 ...组织 + 流程 + 技术 = 安全左移
2022年职称计算机职称考试题库.doc
11-20
"2022年职称计算机职称考试题库" 该题库涵盖了计算机基础知识、硬件和软件知识、计算机系统结构、输入/输出设备、存储器管理、操作系统、软件应用、多媒体技术等方面的知识点。 1. 微机系统中,硬件和软件的关系是...
现代API安全实践2022企业信息安全峰会(脱敏)共15页
12-01
在2022年企业信息安全峰会上,这些话题可能被详细讨论,包括具体案例分析、最佳实践分享以及新兴技术的应用,例如使用机器学习进行异常检测,利用微服务架构提高安全性,以及如何在敏捷开发环境中实施安全左移等。...
安全左移理念,腾讯DevSecOps如何实践?.pdf
09-18
【安全左移理念】指的是在软件开发过程中,将安全措施提前至早期阶段,如设计和编码阶段,以减少安全漏洞的产生。这一理念源于DevOps文化,旨在加速开发流程的同时确保安全。传统的安全检查方法(如DAST)在DevOps...
2022年单片机学习资料-第讲.ppt
11-03
单片机学习是一个涵盖多个方面的过程,...在2022年的单片机学习中,深入学习这些基本指令是非常重要的一步,因为它们构成了单片机程序设计的基础。通过不断的实践和练习,可以提高编写高效、可靠的单片机程序的能力。
安全左移DevSecOps开源工具链建设
左手代码右手诗
06-13 1567
开发安全相关技术和产品受到越来越多的关注。行业共识认为,应用系统上线之后进行软件漏洞修复,其修复成本是需求设计阶段修复成本的几十倍。因此,在开发环节,引入相应的安全工具,能够有效的降低漏洞的修复成本,实现安全的左移。本文会持续研究安全开发相关工具,使用开源工具建设安全开发体系。
【新书速递】应用上云成必然趋势,“安全左移”是云原生安全的必经之路?...
华章IT官方博客
11-01 393
云计算一经走向市场,就迅速呈现出强大的生命力。随着大数据时代的到来,云计算成为大数据的承载平台,“云计算+大数据+人工智能”成为新基建的核心。云计算也因大数据、人工智能的不断发展而成为信息...
安全左移是什么,如何为网络安全建设及运营带来更多可能性
HoewDec的博客
04-06 1391
的提出颠覆了传统的基于网络边界建立的信任模型,默认即使身处内网的人员也不可信,基于先验证再访问的原则,对每一次访问请求都综合用户的身份、行为、状态进行安全评估和认证,以解决所有角色对所有资源的可信访问。如此一来,安全能力不仅是左移,而是无处不移,在云原生应用程序开发生产和运营的过程中,由于大量新的架构、组件、服务的使用,对安全能力提出的要求是比较复杂的,包括云资产的普查及风险感知、威胁响应、漏洞管理修复、容器安全、云工作负载安全、API安全、Web安全等等。微隔离原生自适应容器多变的环境。
安全左移理念,腾讯DevSecOps如何实践?
Tencent_SRC的博客
05-27 1758
文|腾讯研发安全团队Martinzhou、Spine引子随着DevOps模式的落地,快字当头。研效提速也意味着出现安全漏洞的数量和概率随之上涨。过去安全风险的管控主要依赖于DAST类技术,...
交互式应用安全测试(IAST)学习笔记
securitypaper的博客
07-08 1421
新技术的出现,是为了解决老技术历史遗留问题,IAST对应的老技术就是SAST和DAST 传统的应用安全测试主要包括SAST(静态应用安全测试)和DAST(动态应用安全测试)
从 3 个层级出发,做好 DevSecOps “安全左移” 经济账
GitLab 中国发行版
03-16 717
从源头把控安全,打造软件交付的坚固壁垒。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

HummerCloud云原生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值