参与全世界一切一个主要的安全会议,您都是会常常听到那样的评价:公司提升其软件安全性的最好方式 是使开发设计和运营团队能更轻轻松松地将软件“内嵌安全性”。
这一论点论据在国际性安全性交流会RSA上也获得认证。RSA 2020安全性交流会在美国旧金山举办,期内有一场” DevOps Connect:DevSecOps Days”24小时系列产品大会备受关注,根据分组讨论和主题演讲等方式讨论公司如何把安全性更为无缝拼接地内嵌到软件开发设计和经营中。
新思科技是该系列产品大会的广告商,在RSA交流会上公布了最近的创新举措,以适用DevOps的安全防护部件更为实用。
最先,新思科技公布Polaris软件一致性服务平台的重要升级,根据Code Sight IDE 软件的远程服务器集成化将其静态数据运用安全性测试(SAST)和软件构成剖析(SCA)的功能性拓展到开发者的桌面上。这种作用在类似解决方法中是闻所未闻的,将使开发者可以积极搜索并修补专用编码中的安全性缺点及其开源代码依靠项中的己知系统漏洞,而不用离去她们的互动式开发工具(IDE)。
简单点来说,这将促使软件搭建更为安全性、简单和迅速。
新思科技商品销售总监Patrick Carey强调开发设计精英团队与安全性中间不断存有焦虑关联的缘故:开发者将安全性视作“具备毁灭性的”。
为何那么说呢?在规范工作内容中汇报缺点时,开发者已挪到下一个每日任务。要改正问题,她们务必终断已经做的事儿,随后回到,再次开启编码,开展修补,随后再次检测。
可是,最新版的Code Sight IDE 软件根据协助开发者在搭建软件时发觉并处理专用和对外开放源码的问题来处理这一矛盾,而不是转换专用工具或终断她们的工作内容。
Patrick Carey表明:“这将从源头上更改开发者在研发流程中检验、剖析和弥补安全隐患的方法。”
再者,新思科技已经完成对Tinfoil Security的回收。Tinfoil Security总公司设在英国加利福尼亚州,是一家动态性运用安全性测试(DAST)和运用程序接口(API)安全性测试解决方法的自主创新服务提供商。
根据回收Tinfoil Security,新思科技可拓展其DAST运用,并加上API安全性测试作用。Tinfoil Security的DAST技术性可以无缝拼接集成化到开发设计和DevOps工作内容中。除此之外,Tinfoil Security自主创新的API扫描仪技术性可达到市面上持续上升的要求,为新思科技的产品组合策略系列产品画龙点睛。
Tinfoil Security的Web扫描仪解决方法是下一代DAST技术性,可鉴别Web应用软件上的系统漏洞,并与DevOps工作内容密切集成化。Tinfoil Security API扫描仪程序流程可检验API中的系统漏洞,包含与Web联接的机器设备(如挪动后面网络服务器、IoT机器设备及其一切RESTful API)。
不论是下一代DAST技术性或是API安全性测试作用,全是新思科技首席科学家Sammy Migues曾明确提出的“软件安全性的变迁”。
Sammy Migues在RSA交流会上刊登了“下一代软件安全性转移”(The next great software security migration)的演说。Sammy Migues是新思科技软件安全性搭建生命周期实体模型(BSIMM)协同创作者之一,从第一个版本号就早已参加汇报的撰写。2019年公布的第十个版本号 BSIMM10早已注重这种转变。
Sammy Migues详细介绍道:“这种转变有可能处理大家都对现如今的软件安全计划(SSI)不满意的很多问题,包含竞技性关联、不科学的摩擦、人力密集型的工作中、非常容易错误的流程及其系统软件上有缺陷的软件。”
以不减少速率的形式将安全性引进软件开发设计中。“灵活运用灵巧全过程、CI / CD专用工具和DevOps文化的优点,使人们可以清除一些技术性负债,界定一些对策,从而作出大家希望的更改。”
早在2011年,Sammy Migues是第一位明确提出安全性“向偏移”(shift left)的人。如今,“向偏移”早已是个业界熟识的专业术语,表明在软件开发设计之初就己经逐渐搭建安全性,而不是直到开发设计完毕后。
“文化艺术”是DevSecOps Days主题活动的关键话题。在一场“ DevSecOps和毁灭性发展趋势”的分组讨论中,参会人员允许将这三个精英团队结合在一起并非工艺问题,反而是人为因素问题,这与2022年RSA交流会的主题风格十分切合:“人为要素” (Human Element)。
该分组讨论的人员包含Equifax总裁转型发展官Sean Davis; Attivo Networks咨询顾问Chris Roberts;intel全世界网络信息安全现行政策主管Amit Elazari;节目主持人Charlene Li(The Disruption Mindset《颠覆性思维》的创作者)。她们都觉得转型是“痛楚的”,也要人的协作,这也是不断进步的唯一方式。
Sean Davis表明:“开发设计、安全性和运营团队相互之间有埋怨,她们并不理解不一样精英团队的作业或是彼此之间都不沟通交流。这种精英团队的带头人能将不一样精英团队的工作人员凝结在一起,才有较大的机遇取得成功。”
Chris Roberts表明:“这代表着不一样精英团队的合作,而不是孤军奋战。假如彻底自主运行,很有可能完成不了总体目标;携手并肩协作则更非常容易向顺利奋进。当碰到问题的情况下,必须想的是大家 - 而并不是我,要如何解决问题。”