|
|
在软件开发中,通过使用DevSecOps可以在开发的早期阶段发现漏洞和错误,降低表面攻击的风险,全面了解潜在威胁和可能的补救方法。那么,如何实施DevSecOps?主要流程有哪些?为方便大家了解,接下来就让小编来为大家简单介绍一下:
DevSecOps的具体实践:
在系统开发之前,为保证应用的安全,可对开发人员进行信息安全知识培训和必要的安全编码技能的培训。在安全培训周期方面,要全方位、多角度的,既有新人初期培训,也有周期性的培训,还要密切观察开发人员出现的问题并及时给予有针对性的专题培训,方便研发人员在了解漏洞原理之后,能写出高质量、安全的代码。
在开发阶段,通过在IDE中引入开源组件&内部依赖组件安全扫描。若发现风险组件,通过同步到JIRA通知开发人员。在系统开发完成之后,开发人员通过GIT/SVN将代码提交到代码仓库。当代码被提交到代码仓库之后触发SAST进行增量源代码安全扫描,并将风险同步到JIRA。除此之外SAST也会对代码仓库进行周期巡检。
在代码完成自动构建时,自动对构建代码进行安全扫描,若扫描发现缺陷,将缺陷信息同步至JIRA,由JIRA推送至研发人员,同时终止流水线作业。待研发人员完成缺陷修复后,再新重启发起自动发布流水线。
在测试阶段,利用交互式安全检测工具在单元测试、回归测试时,自动收集测试流量,针对测试流量进行分析和自动构建漏洞测试请求,在开展功能测试的同时,即可完成安全测试。若发现漏洞可实时同步到JIRA,并由JIRA将漏洞信息推送研发团队。
关于DevSecOps实施流程,小编就先为大家介绍到这里。总的来说,DevSecOps是组织文化、流程和技术的统一。在落地过程中,不同部门的团队协作十分重要,要上级领导甚至最高领导的重视和投入,更多软件开发资讯,可通过极狐GitLab官网来进一步了解。 |
|
