DevSecOps
Dev 開發
Sec 安全
Ops 運維
共145頁
DevOps
DevOps 是將開發和運維的人員和流程進行協作,形成 一個由利益相關者、客戶、工程師和測試人員組成的單一敏捷交付團隊。
DevSecOps
開發人員流程和運維流程(DevOps)與安全流程的合並。
安全教育
參與 DevOps 的每個人都應該知道安全如何影響他們的工作,包括它如何參與創建 新功能和產品、設計應用程序、編寫代碼、測試功能、部署代碼、構建基礎設 施,識別和響應事件,或向客戶銷售。安
- 培養安全擁護者
通過灌輸安全知識和技能, 培養的產品安全性的關鍵參與者。 - 游戲化學習
將安全測試納入他們 的工作實踐。 經常案例分享。 - 安全編碼培訓
- 講師指導培訓
- 自定進度學習
- 結對編程和同行評審
結對編程(英語:Pair programming)是一種敏捷軟件開發的方法,兩個程序員在一個計算機上共同工作。 一個人輸入代碼,而另一個人審查他輸入的每一行代碼。 - 應用安全工程師參與代碼評審
- 非正式的安全知識分享
- 安全事件演練
- 黑客玩法
測試vulnable app,比如GOAT等 - 考試認證
如 (ISC)2、ISACA 和 CompTIA - 避免熵
熵描述了信息的損失--在這種情況下是知識和技能。要避免人員流失和緊跟技術進步,必要對教育進行持續投資。
P62
安全設計
安全設計原則
- 原則1:最小化攻擊面:原則2:Secure default:原則3:權限最小化:原則4:縱深防御:原則5:Fail securely:原則6:不要信任第三方系統原則7:業務隔離:原則8:公開設計:原則9:
簡化系統設計:原則10:使用白名單:
威脅建模 -
- 正在建造什么?- 為正在變更的系統建模 2. 可能會出什么問題?- 使用公認的威脅模型方法發現威脅 3. 我們能做些什么呢?- 根據風險偏好來應對威脅 4. 威脅分析是否正確?- 使用安全測試程序驗證威脅
- STRIDE 欺騙,抵賴,信息泄露,拒絕服務,特權提升
整潔代碼
微服務
容器技術
流水線安全設計
P91
安全自動化
通過自動化流程應用他們的安全知識並實 施高質量的設計原則。
自動化是 DevOps 的核心,自動化安全測試需要嵌入到這個 核心中。
- 應用安全測試
- 靜態 SAST
- 動態 DAST
- 交互式 IAST
- 軟件成分分析 SCA
- 容器鏡像掃描
- 容器動態威脅分析(DTA)
- 滲透測試
- bug bounty
- 漏洞管理
度量和調整
度量和調整
- 度量知識和技能
- 度量代碼質量
- 度量測試自動化
- 度量誤報率
- 度量應用安全測試的價值
- 度量軟件組成分析的價值
- 度量對價值的影響