广告

软件安全为产业数字化转型提供有力支撑

2021-12-01 18:13:31 阅读:
软件安全为产业数字化转型提供有力支撑
由于新技术不断涌现及其应用日趋成熟,软件开发模式发生改变,DevOps快速兴起,并紧随安全“左移”被广泛认可,DevSecOps已经成为很多企业数字化转型过程中应用安全的基础保障。

我们正走向万物互联的时代,产业数字化转型是当下及未来的必经之路,这一切都离不开软件的驱动。有数字化,有软件,那信息安全问题也随之而来。企业在看到数字化转型带来红利的同时,安全风险不能忽视。可以说软件安全在很大程度上影响数字化转型的速度和质量,为产业数字化转型提供有力支撑。sF6ednc

由于新技术不断涌现及其应用日趋成熟,软件开发模式发生改变,DevOps 快速兴起,并紧随安全“左移”被广泛认可,DevSecOps 已经成为很多企业数字化转型过程中应用安全的基础保障。这不仅有利于企业更快速、更安全地将产品上市,也加速了社会数字经济的发展。sF6ednc

sF6ednc

新思科技一直致力于帮助企业更快速地构建安全、优质的软件,在推动DevSecOps落地方面有丰富经验。新思科技强调引入DevSecOps可以从源头及时治理安全问题,走出“安全孤岛”。但是随着网络环境与黑客攻击方式越来越复杂、企业文化鸿沟以及高效工具缺失等问题,落地DevSecOps对于现代IT企业来说是一件很棘手的工作。sF6ednc

sF6ednc

新思科技软件质量与安全部门高级安全架构师杨国梁表示:“DevSecOps不止是一套工具,而是融合开发、安全及运营理念以创建解决方案的系统方法。这需要把人员、流程、技术、工具结合起来,由内到外强化应用,使其能够灵活防御各种潜在威胁。新思科技通过实际经验总结出一些建议,助力企业更高效地落地DevSecOps,进而推动产业数字化转型,更快地迈上高质量发展之路。”sF6ednc

培养 DevSecOps 文化和思维,进行安全培训sF6ednc

DevSecOps的核心是文化和思维方式。以前,安全防护只是特定团队的责任,在开发的最后阶段才会加入;但是这种做法现在已经行不通了。DevSecOps要求sF6ednc

通过专业培训在企业内部全面建立起安全意识与安全保障机制。有些企业会有一种误区,觉得开发人员可以满足整个软件开发生命周期(SDLC)中的任何安全需求,或者开发人员可以自学这些安全知识。sF6ednc

杨国梁介绍道:“自学可能适用于少数开发人员,但是需要多长时间以及评估指标是什么很难界定,尤其是DevSecOps还没有在真正意义上普及起来。企业更需要安全专家提供培训,以帮助他们与时俱进。新思科技可以提供安全发展计划和培训、CI/CD 战略与规划及云安全评估等,推动企业循序渐进地部署DevSecOps。”sF6ednc

企业可以将DevSecOps文化融入日常职能,平衡安全、速度和规模。如果内部某一团队有效实施了DevSecOps,并从中获益,那他们可以成为其他团队的范例,复制成功。sF6ednc

整合自动化工具,内置安全sF6ednc

云计算开源产业联盟近期发布的《中国DevOps现状调查报告(2021年)》显示,五成以上的受访企业尝试实践DevSecOps。而且,源代码静态安全检测、容器镜像安全扫描以及Web应用防火墙成为企业应用最广泛的DevSecOps实践。sF6ednc

杨国梁说:“报告指出Coverity静态应用安全测试(SAST)是企业应用最为广泛的四种安全工具之一,并且占比最高,达32.74%。这证明了新思科技的静态分析解决方案已经受到中国市场的充分认可。”sF6ednc

凭借Coverity,企业可以实现大规模静态分析自动化,帮助开发和安全团队在SDLC早期解决安全和质量缺陷,跟踪和管理整个应用组合的风险,并确保符合安全和编码标准。此外,新思科技还提供Black Duck软件组成分析(SCA)、Seeker交互式应用安全测试(IAST) 以及API 安全测试等工具,在软件中内置安全,并贯穿整个SDLC。sF6ednc

将安全漏洞视为软件缺陷,适时评估安全计划成果sF6ednc

安全漏洞的报告方式通常不同于质量和功能缺陷。通常,企业在两个不同的位置维护两种类型的结果——安全和质量。这降低了每个团队和相关人员在查看项目的整体安全状况时的可见性。在同一处维护安全和质量有助于团队以相同的方式和优先级处理这两种类型的问题。sF6ednc

在企业部署工具发现质量和安全问题并进行修复后,要如何评估安全计划的整体成果,以持续推进DevSecOps呢?企业需要一把标尺。sF6ednc

新思科技软件安全构建成熟度模型(BSIMM) 是一种基准工具,通过数据驱动的客观方式展示当前软件安全性活动的概况。与规定性模型不同,描述性模型BSIMM实际相当于一个行业报告,企业可以参照其中的数据来定位自己的坐标,考核软件安全计划大致在一个什么水准,是否需要做改进和进一步提升等等。企业可以凭借这把标尺决定哪些额外安全活动对支持其整体DevSecOps战略有意义,并且有针对性地制定下一步计划。sF6ednc

杨国梁总结道:“软件安全是数字化转型的‘刚需’,DevSecOps可将安全防护融入整个SDLC,充分发会DevOps的敏捷性和响应力。当然,落地DevSecOps不会一蹴而就,需要一套整体的规划,覆盖人员、技术、流程、评估等。因此,软件开发需要联动安全开发与业务、运维等,将安全开发作为企业文化延伸到各个部门。新思科技一直强调安全测试应尽可能在 SDLC 的最左侧(即最早期)开始,即安全‘左移’。防患未然,才能为DevSecOps顺利落地保驾护航。”sF6ednc

  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 波兰网友拆德国产电源插排,内部竟是中国制造?! 本文将会介绍LogiLink LPS262U电源插排(接线板)——包含三个USB端口和两个Schuko插座——的内部结构及其简短测试。
  • 用于高达10kA功率扼流圈测量的晶闸管脉冲发生器 Bs&T Frankfurt am Main GmbH公司开发了一种基于晶闸管的新型脉冲发生器,并在各种感性功率器件上进行了测试。该脉冲发生器具有一些得益于晶闸管高脉冲电流处理能力的独特特性,与基于IGBT的系统相比,它具有一些主要优势。
  • 拆解10元4个的人体感应灯:一个鼓包,一个漏液… 前一阵子10元包邮买了4个TCL华瑞照明人体感应灯,2个正白、2个暖白。拆开看了一下,发现4个人体感应灯自带的锂电池容量不大且不带保护板,那2个不能点亮的锂电池,一个鼓包,一个漏液,都过放了……
  • 25kW SiC直流快充设计指南 (第八部分):散热管理 在本系列的前几篇文章中,我们介绍了基于onsemi丰富的SiC功率模块和其他功率器件开发的25kW EV快充系统。在这一章,我们来看看其中的散热管理部分是如何提高效率和可靠性,同时防止系统过早失效的。
  • 从国产大飞机C919上的国产GPU看GPU的架构设计 五月中旬,中国商飞公司的C919大飞机从浦东机场起飞,标志着国产大飞机C919正式开启商用之路。五月下旬,有报道曝光C919的座舱显示系统采用HKM9000 GPU图形处理器,已经实现了完全的国产化。这款航电GPU采用了完全自主的指令架构、核心算法、图形流水、软硬件代码及生态,本文就GPU的架构及其研发难度进行重点介绍。
  • 利用IIoT进行智能水资源管理 我们需要有效的水资源管理,通过减少浪费和更有效地回收废水来节约用水。通过防洪减灾来保护脆弱的城市和基础设施也是如此。那么我们可以做些什么来解决这些问题呢?工业物联网(IIoT)可能会提供一些潜在的解决方案。
  • 具有扩展范围的电容数字转换器 电容传感器广泛用于各种工业应用,例如液位监测、压力测量、位置检测、流量计、湿度检测等。ΣΔ (Sigma-Delta)电容数字转换器(CDC)用方波激励未知电容,并将产生的电荷转换成单位数字输出流。然后,由数字滤波器处理位流,输出精确的低噪声电容测量值。
  • 基于架构创新,后摩智能点亮业内首款存算一体大算力AI芯 5月23日,后摩智能宣布,其自主研发的业内首款存算一体大算力AI芯片成功点亮,并成功跑通智能驾驶算法模型。
  • AMD 推出了基于其 Kria FPGA 模块的机器人入门套 AMD 推出了基于其 Kria FPGA 模块的机器人入门套件,售价 349 美元,交付周期为 20 周。这是 Kria 自适应系统模块(SOM)和开发套件组合的最新产品。
  • 一文带你了解降压型稳压芯片原理 在电路系统设计中,总是离不开电源芯片的使用,林林总总的电源芯片非常多,比如传统的线性稳压器7805、低压差线性稳压器(LDO)、开关型降压稳压器(Buck DCDC)等,那么它们到底有什么区别呢?
  • 从工作电源区分电机的基础构造 电机运用了电流的磁效应,不同的工作电源对应着不同的电机设计和驱动方式,也对应着不同的应用领域。
  • 拆解一款HDMI转USB转换器 笔者买了一个低价的HDMI转USB转换器,由于它无法用来进行笔者所需要的特别设定(但它对许多人来说是完美可接受的,而且据笔者所知,笔者这台摄像机隔行输出的奇怪特性相当罕见),因此决定把它拿来当作拆解的牺牲品,以满足各位的好奇心。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了