DevSecOps是一种将安全原则集成到开发和操作过程中的实践，并在整个软件开发生命周期（SDLC）中保持工作流的关键部分。DevSecOps如果使用得当，可以改变企业安全开发和部署应用程序的速度，并创造简化安全性的新机会，例如利用自动化来加快测试和避免部署速度变慢。安全419了解到BishopFox发布了《DevSecOps左移指南》，为相关企业提供参考帮助。

准备搭乘DevSecOps列车

对于大多数企业来说，首先应实施可靠的应用安全（AppSec）和DevSecOps的基础实践，然后逐步转向更高级的DevSecOps实践。在规划和开始企业迁移到DevSecOps时，其至少需要典型DevSecOps生命周期中的相关活动。

01、开发（计划、代码、构建）

第一步是确定哪些安全需求适用于正在开发的应用程序。例如，如果企业正在处理和存储敏感数据或个人识别信息（PII），企业需要了解存储和处理这些数据的安全要求。

02、试验（测试、发布、部署）

安全测试在整个发布和部署过程中继续进行。企业应该利用自动化工具（如SAST、DAST、IAST和SCA），以及手动测试活动（如代码审查和渗透测试）。

03、操作和监控

尽可能使用日志记录和监视工具，并实施事件响应流程，以便快速响应安全警报。部署自动化测试（如DAST）、纵深防御解决方案（如RASP）和/或更传统的WAF技术以保护生产中的应用程序。

选择正确的现代应用安全工具

01、静态应用安全测试（SAST）

SAST也被称为静态分析，是第一批发现源代码和字节代码或二进制文件本身缺陷的AppSec工具之一。

02、动态应用程序安全测试（DAST）

DAST技术在运行状态下对应用程序进行爬行和分析，与SAST一样，它只能识别扫描引擎已知存在的漏洞和配置问题。传统的DAST扫描仪通常测试公开的HTML接口，但更先进的DAST扫描器也可以测试REST API。

03、软件组合分析（SCA）

由于开源组件带来的风险增加，SCA工具在过去几年变得越来越流行。该工具能识别源代码、容器和注册表中的开源漏洞。大多数SCA工具还能够检查开源许可合规性和归属要求

04、交互式应用安全测试（IAST）

IAST是一种较新的技术，它使用代理和传感器在自动测试和/或手动测试期间持续分析应用程序以测试缺陷。典型的IAST实现是SAST和DAST的混合，它们部署在应用程序中运行的代理或传感器上。

05、运行时应用程序自我保护（RASP）

RASP是一种新技术，它集成到应用程序中，并分析用户流量和行为模式以阻止和防止攻击。RASP部署在生产服务器上，其工作方式更像传统的web应用程序防火墙（WAF），但RASP技术使用AI和机器学习来代替正则表达式匹配。

默安科技多年来致力于提供贯穿完整业务生命周期的左移开发安全DevSecOps能力，根据该企业自身开发项目管理体系，将雳鉴SAST、IAST检测工具与现有的工具链整合，协助客户制定和完善开发过程中的相关流程与规范，辅以安全培训提升人员安全开发能力，构建完善、统一、可跟踪、可度量的开发安全体系，能将99%的已知高危漏洞消灭在开发阶段。

随着攻击的速度、复杂性和频率不断提高，从一开始就提高应用程序安全性对于数据、系统、隐私甚至关键基础设施至关重要。

#网络安全##软件开发#