分析师表示,Devsecops不限于编码
optus在网络安全交易中获取举报
Nvidia希望企业在Holodeck VR环境中加入它
ZOPA获得银行许可证并准备发射
普华永道与Ukblacktech合作,增加了技术部门的多样性
这种无人机可以帮助检查淹水的基础设施
区块链在金融气中获得牵引作为支付网络出现
是时候暂时关闭Windows自动更新
Apple的Sal Soghoian宣布了“自动化硕士”活动
Microsoft通过Cosmos DB全球数据库
Excelero通过以太网和光纤通道添加NVME Flash
常问问题:你是来自Wannacry兰库厂的危险吗?
是时候打电话给它:Chromebook是新的Android平板电脑
多米尼克·莱布:英国AI部门将从欧盟出口“完成就会”
新加坡的RedMart找到了云ERP的速度和敏捷性
Android启动智能手机赌博
NVIDIA对数据中心的尖端Volta GPU获得了广泛的支持
Microsoft发布kB 4040724修复了本月Win10 1703修补程序中介绍的错误
警告正常研究所的高度高音斯必须准备增加政府监管和税收
SAP有新的政府业务设计
GDPR驾驶数据保护成熟度
泰国民主党党举行选举与区块链
是时候安装8月的窗户和办公室补丁了
需要安全和道德解锁数据的新形式的治理
Windows安全性新:自动注销可疑用户
企业智能手表使用正在捕获
在Surface Pro 3上运行Win10 Beta Build?不要关闭。
良好的数据治理是良好的业务
健身房组用数据分析弯曲肌肉
通勤列车可能需要超过3Gbps的移动数据容量到2025
上诉法院将维基梅德尼亚竖起大拇指归于“上游”监视的Sue Nsa
伟大的Ormond Street Hospital of Healthtech的研究与创新单位
大众汽车卡车集团的订阅基于商业模式
SmartSheet:基于电子表格的工具,用于更简单的项目管理
为什么商业软件提供商正在购买云本地人
超过一半的女性认为他们的性别帮助他们追求科技职业
Apple道歉,发出Mac登录安全补丁
打开OpenStack Foundation的开放式基础架构推动
Mingis关于Tech:为什么公司爱2合1片
另一个横幅补丁星期二,有一个单词零天和几个错误
亚马逊的回声显示可能会破坏企业级统一通信
深度学习工具的概述
iPad上的新码头是MAC Apocalypse的第一个标志
HMRC通过免税儿童保育门户解决了技术问题
亚航通过在谷歌云中飞行成为数据第一业务
3关于Equifax数据违规的重要景点
Microsoft团队与Adobe合作伙伴关系获得了提升
为什么Elon Musk表示50%的汽车将被2027年电动电动
普华永道为伦敦的西端提供零售数据洞察力
民政事务委员会表示,警察技术是“完全完全的混乱”
您的位置:首页 >论坛 > 电子商务 >

分析师表示,Devsecops不限于编码

2021-08-19 11:44:14 [来源]:

根据Alexei Balaganski,KuppingerCole的领导分析师Alexei Balaganski的说法,安全领导者需要了解Devops和Security或Devsecops,或Devsecops,或Devsecops不会以软件代码结束。

“它将超越编码流程延伸到数据安全操作中,该操作旨在确保整个开发过程中的数据安全性,”他每周告诉计算机。

Balaganski认为,为了提高软件应用程序的安全性,需要远离业务驱动,IT驱动和可编程驱动的软件开发来转移到安全和软件开发人员驱动的软件。

“我们常常看到业务对开发团队的需求和制定不承担安全性的交付截止日期,”他说。

安全性也需要从教育开始,说巴拉曼斯基和技术甚至考虑之前,安全文化必须整理整个组织或企业,员工及其业务流程。

“当涉及到安全的技术方面时,Devsecops正在受到普及的方式,作为一种让所有人的方式,包括最懒惰的开发人员和最疏忽员工,拥抱安全性,而不是将其视为对他们工作的障碍,”他说。

专注于Devsecops内的数据安全操作是在组织中确保更好的数据安全性方面的新兴趋势之一。

“一些组织开始了解应用程序安全性不仅仅是关于编码,而且还要涉及应用程序如何处理数据以及开发人员如何处理数据,”Balaganski说。

这意味着用于测试应用程序原型的数据必须符合数据保护规范。“你不能只给出每个开发人员在应用程序的应用程序的副本上,”他说。

与此同时,巴拉肯斯基表示,没有开发人员将等待数据保护团队的回复,以请求测试数据,并且可能窃取生产数据库的副本以节省时间。

“因此,数据安全操作方法是将数据传递和数据匿名化进程集成到开发过程中,”他说。

这样做的一种方法是使用数据虚拟化技术,使得敏感数据在安全的数据中心中仍然是现有的,但是需要测试数据的开发人员在没有任何副本的情况下访问有限的时间段以获得有限的时间段,以进行匿名和屏蔽数据,而无需任何副本正在制作的数据库。

“这样的技术存在以有效的方式将开发和安全性结合起来,”巴拉格兰斯基说。“但组织的挑战正在获得安全,发展和数据保护聚集在一起采用和使用该技术。

“再次,它恢复了教育和促进安全意识。正如从传统软件开发到Devops的范式转变一样,数据安全操作即将到来,作为下一个潜在的范式转变,特别是随着欧盟的一般数据保护规则等数据保护法规,数据成为更敏感的问题[gdpr]。“

Balaganski表示,安全领导人应该意识到安全领导人应该意识到用于部署和运行申请的另一个有趣趋势。

“他们正在开发作为运行应用程序的平台,以便在基础设施维护方面减少开发人员的工作量,并且有形业务需要支持包含内部部署和基于云的应用程序的混合环境,但需要从数据中获取特殊护理安全观点,“他说。

Balaganski表示,最近出现问题的一个例子是俄罗斯航空公司Aeroflot,它向公众互联网开放了用于部署容器的Docker注册表服务器,并包含用于运行其网站的所有源代码。

“Aeroflot是俄罗斯最大的公司中最大的行业之一,因此它在将其网站作为一个主要的客户面向平台中保护了很多,”他说。“但他们完全忘了确保他们的发展环境,使潜在的攻击者能够探讨他们可以利用的脆弱性,这是一个经常被忽视的地区的典型例子,其中安全性和开发必须满足,但经常没有。”

Balaganski表示,重点是码头的业务和开发利益,用于建造,分发和运行集装箱和Kubernetes集装路里的系统系统。“但容器安全是必须迫切地解决的一个区域,”他补充道。

“公司提供完全托管的集装箱平台,但您不会听到这些供应商的容器安全性。我没有看到任何开箱解决方案,但必须得到解决。“

Balaganski表示,似乎受到关注的一个区域是应用程序接口(API)安全性。

“近期三年半前,虽然有几十个API管理供应商,但只有一个公司声称成为API安全供应商的公司,”他说。“但这在过去两年半的变化,现在至少有五个,这是一个积极的发展。”

但是,安全领导者需要更多地关注主题。根据巴拉曼斯基的说法,即使大部分组织的网站是基于API的,相对较少看到对API安全性的需要,而是依赖于传统的Web应用程序防火墙(WAF)。

“这是一个问题,因为那里有这么多的API特定威胁,API正在成为最常用的客户面向客户的渠道和主要收入来源,”他说。“所以如果API受到损害,那么它不仅意味着停机时间,它也可能导致大规模的数据违规和数据保护合规性违规行为。”

在这方面,布拉格森斯说,安全领导人需要认识到,只有在WAF上依赖的日子已经结束,并且他们需要通过投资API安全性,因为网站变得越来越多为中心,特别是依赖的公司来遵循银行的示例在API上,例如Netflix和Uber。

Balaganski表示,通过MicroServices架构的使用增加,容器安全性和API安全性的重要性强调。

“微服务基本上沸腾到容器加API,”他说。“容器是基础设施,API是面向外部的接口,因此微服务安全性是关于集装箱和API的关注。”

安全领导者需要采取一种方法,确保Balaganski表示数据的一致性,可用性,遵守和安全性。

“重要的是要专注于孤立的容器,API,微服务和数据,而是将所有这些都包含在安全策略中,以及他们的所有相互依赖性和互连,”他说。

Balaganski将在题为容器,微服务,API的会话中更详细地讨论这些主题:11月12日至14日,柏林网络安全领导峰会2018年欧洲的最新Devops安全趋势。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。