久久一日本道色综合久久_国产最爽的av片在线观看_精品成人Av一区二区三区_94久久国产乱子伦精品免费_国产三级网站在线观看_和女邻居做爰在线观看_wymfw最新免费_国产强奷在线免费阅读_95在线观看视频

DevSecOps將安全原則、流程和技術(shù)整合到持續(xù)的軟件開發(fā)和IT運(yùn)營文化中，從而影響其實(shí)踐和工作流程。它將傳統(tǒng)上相互隔離的開發(fā)、基礎(chǔ)設(shè)施運(yùn)營和信息安全領(lǐng)域匯聚在一起，通過一套共同的流程、程序和工具自動(dòng)化，促進(jìn)安全軟件的開發(fā)。
　　對DevSecOps興趣的增加，部分是由于云計(jì)算優(yōu)先的軟件開發(fā)環(huán)境推動(dòng)的，這種環(huán)境具有越來越短的產(chǎn)品生命周期、更迭代的開發(fā)方法以及開發(fā)和IT運(yùn)營的日益集成。傳統(tǒng)的安全開發(fā)方法往往難以滿足那些在云環(huán)境中工作的人快速采用的持續(xù)開發(fā)方法的需求。將安全開發(fā)實(shí)踐集成到DevOps中需要一種更敏捷的安全方法，包括增加安全流程的自動(dòng)化、更周到和務(wù)實(shí)的安全實(shí)施規(guī)劃、更明確地列舉風(fēng)險(xiǎn)和合規(guī)要求，以及更具操作性的監(jiān)控和測量方法。此外，要使所有這些元素作為一個(gè)整體的DevSecOps方法協(xié)同工作，需要每個(gè)接觸該流程的人都有集體安全責(zé)任意識(shí)。
　　鑒于對DevSecOps的興趣增加，云安全聯(lián)盟（CSA）和軟件保證卓越代碼論壇（SAFECode）組成了一個(gè)DevSecOps工作組，以識(shí)別和分享開發(fā)和維持DevSecOps項(xiàng)目的最佳實(shí)踐。作為第一步，工作組根據(jù)CSA的反射性安全框架中描述的六大支柱，確定并定義了將DevSecOps集成到組織中的六個(gè)關(guān)鍵關(guān)注領(lǐng)域。隨著時(shí)間的推移，我們將重新審視并建立每個(gè)DevSecOps支柱的更詳細(xì)的研究和指導(dǎo)，以維護(hù)特定行業(yè)的標(biāo)準(zhǔn)。本文是計(jì)劃中的系列文章的一部分，將重點(diǎn)關(guān)注arguably其他所有支柱基礎(chǔ)的領(lǐng)域——集體責(zé)任。
　　培養(yǎng)集體安全責(zé)任意識(shí)不僅是將安全融入DevOps環(huán)境的重要組成部分，也是最具挑戰(zhàn)性的任務(wù)之一。這需要培養(yǎng)組織在軟件安全方面的思維方式、理念、習(xí)俗和行為的轉(zhuǎn)變。在本報(bào)告中，我們將這種努力稱為構(gòu)建支持安全的文化。這種文化的一些顯著特征包括以下特點(diǎn)：
　　實(shí)施安全設(shè)計(jì)的心態(tài)：在軟件開發(fā)和運(yùn)營的每個(gè)階段都考慮和解決安全問題。安全不是事后的想法，也不是僅僅通過審計(jì)發(fā)現(xiàn)來處理的問題。
　　一種全員參與——從開發(fā)到IT運(yùn)營再到高層管理——在確保軟件安全方面發(fā)揮作用，并作為組織應(yīng)對當(dāng)今復(fù)雜威脅環(huán)境的第一道防線的意識(shí)。
　　強(qiáng)調(diào)個(gè)人責(zé)任和信任。這種方法使自主性和敏捷性得以增強(qiáng)，提供必要的安全信息和工具，以便進(jìn)行知情的分散式行動(dòng)和決策。這與傳統(tǒng)上限制性較強(qiáng)、手動(dòng)密集且相互隔離的安全流程有所不同。
　　明確認(rèn)識(shí)到安全并非與業(yè)務(wù)目標(biāo)分開或截然不同，因此，積極的安全行為和激勵(lì)措施之間存在明確且可識(shí)別的一致性，并且相信團(tuán)隊(duì)成員在其安全工作中會(huì)得到支持。
　　盡管關(guān)于培養(yǎng)支持安全的文化的必要性已有大量著作，但它仍然是DevSecOps執(zhí)行過程中最常被提及的挑戰(zhàn)之一。文化通常被描述為組織的一個(gè)關(guān)鍵但無形的要素。不幸的是，這可能導(dǎo)致一種相當(dāng)臨時(shí)的文化變革方法。在軟件安全方面，這通常表現(xiàn)為偶爾的黑客馬拉松或漏洞清理活動(dòng)，或者可能是關(guān)于軟件安全實(shí)踐價(jià)值的年度培訓(xùn)課程。這并不是說這些活動(dòng)沒有價(jià)值，而是說如果它們沒有在團(tuán)隊(duì)目標(biāo)的背景下呈現(xiàn)、沒有得到加強(qiáng)，或者沒有包括正確的受眾，它們的影響是有限的。在周期開始時(shí)引入安全知識(shí)和培訓(xùn)可以幫助避免這些臨時(shí)會(huì)議的需要