超级会员免费看
集成工具、自动化与零信任架构:保障DevOps安全
1. 集成工具与自动化
1.1 DAST工具特点
动态应用安全测试(DAST)是一种复杂且成本较高的测试方法。它通过应用程序运行事务,并依赖与应用程序交互的组件,如前端应用和后端数据库。要使DAST工具发挥有效作用,需要进行良好的配置。DAST与渗透测试较为接近,许多安全人员和工程师会依靠手动渗透测试来检测不同应用程序栈和服务之间集成的漏洞,特别是当这些栈和服务由不同平台和供应商提供时。
需要注意的是,公共云平台对渗透测试有严格的政策。例如,亚马逊网络服务(AWS)仅对少数服务(如计算平台EC2)支持渗透测试。违反这些政策可能会导致处罚,甚至禁止使用相关服务。
1.2 CircleCI orbs集成
在DevSecOps集成领域,Orbs是一个相对较新的概念。它是可重复使用的YAML代码片段,可处理重复性操作,如安全扫描。Orbs允许直接与流行的安全扫描工具集成,这是CircleCI公司提出的概念,该公司提供自动化持续集成(CI)的工具。
CircleCI声称可以将这些工具直接集成到CI/CD管道中。例如,有适用于Probely(Web漏洞扫描器)和SonarCloud(代码分析)的Orbs,开发者也可以创建自己的Orbs并推送到开源的Orb Registry。
1.3 监控的重要性及功能
安全的一个关键要素是确保必要的安全策略到位,并切实保护好环境。这需要正确配置监控。开发者需要信息来修复代码中的漏洞、改进代码和应用程序,这不仅关乎客户体验和性能,也关乎保障应用程序的安全性。由于黑客不断寻找新的攻击方式,因此需要持续
订阅专栏 解锁全文
扫一扫
4791
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
