当前位置:主页 > 网络安全 >

香港高防cdn_服务器安全防护设备_原理

时间:2021-06-12 02:25来源:E度网络 作者:E度网络 点击:

香港高防cdn_服务器安全防护设备_原理

Veracode正在赞助一项关于安全敏捷开发主题的独立研究,内容摘要见下文,最终将作为完整的白皮书发表。这项研究是由Securosis进行的,这是一家小型的、受人尊敬的分析师公司,与安全界有着密切的联系。它最初将作为一系列博客文章发表,任何人都可以发表评论,遵循该公司完全透明的研究过程,旨在保持公司的客观性,同时进行授权研究。内容由Adrian Lane撰写,他专门研究应用程序/数据安全和软件开发主题(曾在多家软件公司担任CTO和副总裁/开发)。Rich Mogull是该公司的首席执行官,100m宽带防御多少ddos,以前是Gartner的安全副总裁。Rich和Adrian首先采访了Veracode的开发团队,讨论了我们如何在自己的敏捷SDLC中构建安全性。以下是自上周该系列文章开始以来发表的每一篇博客文章的简要摘要:1安全敏捷开发:系列简介如何将安全性整合到软件开发组织中,尤其是敏捷开发中,仍然是客户经常面临的问题。知道该使用什么工具以及在哪里使用并不能解决文化、目标和过程等基本问题,这些问题使安全代码开发成为一个挑战。在开发过程中嵌入安全性是很困难的。并不是因为开发人员不关心安全性——我们交谈的大多数开发人员都对安全性感兴趣,并希望解决安全问题。但开发人员要把精力集中在代码的交付上。安全开发实践,就像开发的其他方面一样,必须适合敏捷框架,而不是相反。2敏捷趋势用最简单的术语来说,敏捷软件开发是一组构建预期软件的技术,其错误更少,安逸cc攻击防御,可预测性更好。敏捷方法包括任务的简单性、对较小的工作代码的快速周转,以及对人与人之间交互的偏好,而不是电子邮件/文档/面向过程的交互。那么为什么安全专业人员会在意呢?因为开发已经将重点转移到更小、更简单、更快的位置,有效地排除了缓慢、不确定和复杂的安全任务。三。与开发部门合作为什么我们不能和睦相处?忽略这个房间里的大象是没有意义的,它不会让任何人感到震惊,因为安全专业人员和开发团队之间历来存在摩擦。这不是因为固有的敌意,而是由于相互冲突的优先次序。开发需要在预算内按时发布功能代码。安全性需要管理组织的风险,包括由新技术(包括代码)引入的风险。其中一个需要尽可能快地行驶:另一个需要防止撞破护栏飞出公路。建议:大多数情况下,在不牺牲安全目标的情况下,低成本ddos防御海外高防,将安全性尽可能无缝地集成到他们的流程中。例如:讲述你的故事:故事是敏捷沟通项目需求的基本单元。你可能需要把你的手弄脏,写安全"故事",并帮助开发任务卡来描述要做的安全工作。面对现实吧——产品经理对安全性的了解并不那么好,如果你真的想让开发团队了解你需要构建什么,你就需要帮助编写故事。4工艺调整公共瀑布式开发过程有清晰的阶段划分,每个阶段都提供了安全集成的机会,并且每个安全活动必须在进入下一阶段之前完成。敏捷包括在sprint中所做的任何工作——它不会屈从于安全性,所以你需要弯曲安全性来适应敏捷。以下是如何将安全任务集成到敏捷中的建议:建筑与设计:许多人将威胁建模作为用户情景中的一项任务,因此它只是开发团队成员的另一项开发操作。其他人则选择在故事由产品经理或高级开发人员编写时对威胁进行建模,将结果烘焙成影响任务卡的设计更改。与其一长串的需求清单,不如试着用一个简单的状态机图来传达这个想法。清楚地说明你想要什么和避免什么是最好的。产品管理和任务优先级:产品经理或产品所有者分配任务。他们的职责是管理即将到来的特性或故事,将工作分解为可管理的任务,ddos防御设备报价,并对它们进行优先级排序。他们在团队中的安全知识往往最少。我们建议与产品管理部门合作,哪个cdn可以防御cc,将标签/标签分配给安全任务和漏洞,以便可以像任何其他功能或bug一样跟踪它们。平衡安全性和其他开发任务。开发调试:在瀑布时代,质量保证团队经常会收到完全未经测试的代码。相比之下,敏捷需要在QA接受之前验证代码是否执行了其基本功能。选择能够快速帮助识别代码是否通过或未能满足要求的小项目。如果您的组织在开发阶段自动化了静态测试,那么您需要将结果集成到跟踪工具中,这样开发人员就可以在代码更改记忆犹新时利用它们。质量保证和放行管理:我们是否提到过敏捷与scrum没有QA阶段?相反,开发人员检查小部分代码并向团队演示功能,在此过程的早期会进行更多的测试。好消息是,您将比以往任何时候都更多地将安全测试转移到自动化开发测试中。本系列今后的文章:工具和测试细节新的敏捷——DevOps在行动我们希望您会喜欢这个很棒的内容,并从中学习,以增强您自己的安全敏捷流程。快乐阅读!

推荐文章
最近更新