首页 > 其他分享 >DevSecOps 中的漏洞管理(上)

DevSecOps 中的漏洞管理(上)

时间:2023-09-05 14:33:50浏览次数:29  
标签:集成 DevSecOps 安全 代码 管理 漏洞 测试

DevSecOps意味着在DevOps交付管道把安全性包含进去。该模型尽可能早地将安全原则集成到软件开发生命周期的所有适用阶段中。下图展示了安全方面在DevOps后期阶段的集成,但DevSecOps安全性集成到生命周期的所有阶段。


IT安全领导者应该在他们的组织中采用有效的漏洞管理实践来实施适当的DevSecOps。

漏洞管理

漏洞管理是一种帮助组织识别、评估、确定优先级并修复系统中漏洞的做法。最终,漏洞管理的目标是通过使用修补、加固和配置管理等技术来降低漏洞带来的风险。这有助于确保安全性,同时限制恶意用户可能利用的风险。IT安全的主要职责是防范漏洞。我们都知道,安全漏洞可能代价高昂;根据Ponemon研究所和IBM进行的联合研究,每次数据泄露的平均成本为435万美元,而85%的组织在2022年至少有一次数据泄漏。根据《2022年数据泄露报告》,以下是近年来十大数据泄露和十大数据泄漏属性。

漏洞vs.利用vs.威胁

理解漏洞、威胁和利用之间的定义和关系非常重要。
漏洞(vulnerability)是代码或软件中的缺陷,为攻击者提供了未经授权访问系统的途径。在高层次上,漏洞可以分为两种类型:

1.技术漏洞:与代码相关的bug或错误、配置不当的防火墙、未打补丁或过时的操作系统或基础设施等。
2.人的漏洞:人们有意或无意地犯错误,并通过利用人类心理获得数据、系统或包的访问权限。

漏洞利用(exploit)是黑客利用漏洞的方法。利用漏洞攻击是指一些恶意代码,用来攻击系统的漏洞。它可能会窃取信息,减慢/阻止系统运行,或者成为服务器上的寄生虫,在未来制造问题。例如,Log4Shell漏洞是Log4j程序允许用户根据本应打印在日志中的值执行任意代码的一个弱点。随后实施了许多不同的漏洞利用,试图以不同的方式使用此漏洞——其中一些漏洞利用允许您插入自己的代码。相比之下,其他人暴露了软件的私有环境变量。

威胁(threat)是指一个或多个漏洞利用漏洞发起攻击的实际事件。

漏洞管理和DevSecOps组合

为了在DevSecOps项目中有一个良好的开端,在应用程序开发的早期——最好是在开始编写代码之前——就集成安全目标。安全可以集成,并且可以在项目的初始阶段开始有效的威胁建模。当开发人员在代码进入管道之前检查代码以识别任何问题时,静态分析筛选器和策略引擎可以随时运行。这有助于开发人员立即了解安全问题,使他们能够处理安全问题的所有权。一旦在静态应用程序中检查了代码,就可以使用SAST(static analysis security testing,静态分析安全测试)工具执行安全测试,以识别漏洞并执行软件组合分析。应该将SAST工具集成到提交后的过程中,以确保主动扫描引入的新代码以查找漏洞。因此,在软件开发生命周期的早期集成SAST工具可以降低应用程序漏洞风险。

在代码构建之后,就可以开始进行安全集成测试。在一个独立的容器沙盒中运行代码可以自动测试网络调用、输入验证和授权等内容。这些测试是DAST工具(dynamic application security testing,动态应用程序安全测试)的一部分。这些测试会生成即时反馈,从而能够快速迭代以测试问题。如果发生意外的网络调用或未经净化的输入等情况,测试将失败,管道将以通知相关团队的形式生成可操作的反馈。

访问管理是需要与DevSecOps集成的下一个重要原则。我们需要确保应用程序编写相关的安全性和性能指标。需要执行角色工程,定义与每个角色相关的角色和访问权限——需要定义标准的天生权利角色。

安全扫描和漏洞管理甚至在产品/项目投入生产后仍在继续。我们需要确保通过适当的配置管理将自动补丁应用到产品的最新版本。确保产品运行的是软件及其代码的最新稳定版本。



标签:集成,DevSecOps,安全,代码,管理,漏洞,测试
From: https://www.cnblogs.com/chenqiAaron/p/17679462.html

相关文章

  • 医学影像(PACS)源码,影像的获取、处理、存储、调阅、检索、管理
    医学影像(PACS)系统主要进行病人信息和影像的获取、处理、存储、调阅、检索、管理,并通过网络向全院提供病人检查影像及诊断报告;各影像科室之间共享不同设备的病人检查影像及诊断报告;在诊断工作站上,调阅HIS中病人的其它信息(如:病人信息、病历信息、医嘱、检验信息等)。系统包括:1、预......
  • 失效日期管理和账户锁定2
    一:chage命令设置密码的失效日期 使用chage命令检查系统中密码的失效日期的命令格式:   change-l用户名使用chage命令设置不更改密码可以使用的最长天数的命令格式: change-M天数用户名使用chage命令检查密码更改到期的宽限天数的命令格式: change-l天数用户名使用ch......
  • 软件测试|快速、可靠的JavaScript依赖管理工具——yarn
    简介Yarn是一个由Facebook于2016年推出的JavaScript软件包管理器。它的目标是解决npm(Node.js的默认软件包管理器)在性能和可靠性方面的一些问题。Yarn旨在提供更快、更安全、更稳定的依赖项安装过程,使JavaScript开发人员能够更轻松地管理和构建项目。本文将详细介绍Yarn的特点、优势......
  • 基于SSM的健身俱乐部管理系统
    系统使用技术:SSM前端技术:bootstrap、css、js等开发工具:idea数据库:mysql5.7项目介绍:系统框架采用SSM框架,前端使用css、js、bootstrap等,适合基础中等或以下的同学。主要功能包括:会员管理、教练管理、器材管理、选择课程等。下面我们来看看功能。系统登陆界面:http://localhost:8080 ......
  • 基于Java的高校社团管理系统
    系统使用技术:servlet前端技术:css、js等开发工具:eclipse数据库:mysql5.7项目介绍:该系统适合基础中等及偏下,需要系统功能完善并且页面美观的同学。主要功能包括:权限管理(菜单管理、用户管理、角色管理)、新闻管理、留言管理、社团财务管理、社团管理、社团风采管理、社团活动管理、学生......
  • ​【漏洞复现】万户协同办公平台 ezoffice未授权漏洞
    万户协同办公平台ezoffice简介万户ezOFFICE集团版协同平台以工作流程、知识管理、沟通交流和辅助办公四大核心应用漏洞描述万户ezOFFICE协同管理平台是一个综合信息基础应用平台。万户ezoffice协同管理平台存在未授权访问漏洞,攻击者可以从evoInterfaceServlet接口获得系统登......
  • 基于SSM的高校餐厅防疫管理系统
    博主主页:猫头鹰源码博主简介:Java领域优质创作者、博客专家、公司架构师、全网粉丝5万+、专注Java技术领域和毕业设计项目实战主要内容:毕业设计(Javaweb项目|小程序等)、简历模板、学习资料、面试题库、技术咨询项目介绍:本系统采用SSM框架,数据层采用mybatis,数据库使用mysql,适合选题:......
  • 基于SSM的先锋图书管理系统
    项目介绍:本系统为原创项目,基于SSM整合开发,分为2个角色。下方为需求功能。项目需求:分为两个角色,分别为管理员和用户管理员:登录注册、用户管理:添加,修改,删除,搜索查看,拉入黑名单分类管理:添加分类,修改,删除,搜索查看图书管理:添加图书,修改,删除,搜索查看借阅管理:搜索查看借阅信息归还......
  • 大厂都在用的Git代码管理规范(转)
    以下文章来源于码农参上 ,作者DrHydra码农参上.专注后端技术分享,有趣、深入、直接,与你聊聊技术。将 脚本之家 设为“星标⭐”第一时间收到文章更新 来源:码农参上(ID:CODER_SANJYOU)作者:DrHydra分支命名master分支master为主分支,也是用于部署生产环境的分支,需要确......
  • • • ​​​​ 目录​ • shell命令概述 • 获得命令帮助 • Linux命令行的格式 •
    shell命令概述Shell作用:命令解释器介于操作系统内核与用户之间,负责解释命令行获得命令帮助内部命令help命令的“--help”选项使用man命令阅读手册页命令行编辑的几个辅助操作Tab键:自动补齐反斜杠“\”:强制换行快捷键Ctrl+U:清空至行首快捷键Ctrl+K:清空至行尾快捷键Ctr......