DevSecOps资讯汇编 第十一期
DevSecOps资讯汇编
第十一期
DevSecOps
-
NIST Introduces Framework for Secure Software Development | NIST推出安全软件开发框架
- 文章简单总结了NIST发布的安全软件开发框架(SSDF)点击下载,文章提出关键的几点(可能跟它的产品有关):
- 安全培训
- 自动化和集成安全测试
- 安全地使用开源代码
- 框架主要分了4个部分,每个部分有一些活动体现。 四部分分别为组织情况(组织和流程)、软件开发、软件生产加固、漏洞响应
- 文章简单总结了NIST发布的安全软件开发框架(SSDF)点击下载,文章提出关键的几点(可能跟它的产品有关):
-
- 文章对于DevSecOps理念做了整体的介绍,展示腾讯在这方面的初步实践,内容的话还是以安全活动的内容为主,即做哪些安全活动,并未展示实施和推进的路线,对于一些实践中的厂商有比较大的参考意义
- 原则:安全左移、默认安全、运行时安全、安全服务自助化/自动化、基础设施即代码、持续集成和交付、组织和文件建设
- 阶段划分(一般需要根据厂商自己的情况):需求与设计、编码、测试/验证、预发布、发布、预防、检测、响应、预测、适应。
- 活动/安全工具(内容较多,建议查看原文,我这边收录一些个人觉得比较有特色的):安全相关的基础设施&框架机制、Fuzzing、安全可追溯的运维访问、安全事件工单系统、安全服务中心、威胁情报
- 文章质量很高,值得一读
- 文章对于DevSecOps理念做了整体的介绍,展示腾讯在这方面的初步实践,内容的话还是以安全活动的内容为主,即做哪些安全活动,并未展示实施和推进的路线,对于一些实践中的厂商有比较大的参考意义
-
Security Testing using BDD Security | 使用BDD Security框架执行安全测试
- 文章不是2020年的,但是这是我个人觉得以后的一个技术方向之一
- 文章内容比较简单,是针对bdd security 框架的一次技术应用,调用zap等工具完成安全测试,技术特点在于行为驱动,类似于在一般软件测试中所述的自动化测试技术
-
Incorporating Security in DevOps Process | 在DevOps中整合安全性
- 文章内容分4个部分,背景,安全活动,安全度量以及总结
- 背景: 以介绍devsecops和面临的安全困境为主
- 安全活动,人工+产品,产品以各阶段为划分进行了汇总,整体内容与SDL区别不大
- 安全度量,各阶段的漏洞数量情、误报水平、交付后的攻击和威胁
- 文末附上了devsecops checklist, 类似于SDL
- 文章内容分4个部分,背景,安全活动,安全度量以及总结
-
How to champion security in DevOps | 提高devops的安全性
- 文章重点提及和强调了各团队之间有效协作,如何采取一些措施推动各团队之间互相理解。 关键团队:开发团队
- 交叉培训,不仅仅是安全培训开发和运维,而是互相培训,互相理解,更好的协作
- 在各团队内部选拔相对专业的安全人员,负责一部分的安全沟通工作 ( “安全冠军”)
- 文章重点提及和强调了各团队之间有效协作,如何采取一些措施推动各团队之间互相理解。 关键团队:开发团队
Collected By Alkaid
PS: 目前国内的消息源有限,如果有相应方面(SDLC、自动化、DevSecOps、威胁建模、应用安全、云安全)的文章,可以邮件alkaid.guang@gmail.com ,谢谢
以技入道
浙公网安备 33010602011771号