当前位置:主页 > 网络安全 >

ddos怎么防_服务器防火墙的配置与管理_免费试用

时间:2021-06-12 04:37来源:E度网络 作者:E度网络 点击:

ddos怎么防_服务器防火墙的配置与管理_免费试用

欢迎来到另一轮敏捷SDLC问答。上周,Ryan和我花了一些时间回答了我们的网络研讨会上的问题,"将安全性构建到敏捷SDLC中:从战壕中观察";如果你错过了,你可以在这里看到第一部分。现在请回答更多的问题!Q、 关于持续构建,您推荐什么样的安全过程?克里斯:这要看频率。如果您每天部署一次,并且您有自动化的安全工具作为一个门控功能,那么这是可能的,但可能只有在您将这些工具放入构建过程中并最小化人员交互的情况下。如果您部署的频率比这更高,那么您可能会开始对安全性有不同的想法—将其从关键路径中排除,但无论如何确保不会忽略任何内容。我们已经与一天多次部署的公司进行了交谈,共同的主题是,他们建立了非常强大的监控和事件响应能力,并寻找异常情况。一旦发现可疑的东西,他们就可以迅速做出反应并进行调查。好消息是,如果他们需要热修复,他们可以做得非常快。这对我们来说是未知的领域,我们到了那里就会告诉你。Q、 如果你只有一个安全资源来处理应用程序的安全性-你如何利用这个"整理"过程中的一个资源?克里斯:你可能想让这个人一次和一个Scrum团队(或者一小部分)一起工作。当他们与每个团队进行安全培训时,他们会希望尽可能严格地记录导致他们将安全任务附加到特定故事的标准。这将因团队而异,因为每个产品都有不同的威胁模型。一旦安全梳理标准被记录下来,您就应该能够将该过程的这一部分交给团队成员,理想情况下是一个安全冠军类型的人,他将拥有并承担代表安全需求的责任。安全SME可能会不时地审核sprint并确保没有任何东西从裂缝中滑出,如果是这样,免费ddos防御墙,则相应地修改指导方针。Q、 您的"安全冠军"让我想到了BSIMM的"安全卫星";您对BSIMM在敏捷环境中的适用性有何看法?克里斯:是的,安全卫星的概念和安全冠军的角色非常吻合。BSIMM是一个很好的框架,用于考虑对组织来说很重要的不同的安全活动,但是在敏捷环境中它不是特别规范的。Q、 我们是一个每周发布周期的敏捷商店。构建完成到发布之间的时间大约为24小时。我们正在为每个版本实施web应用程序漏洞扫描。我们如何在每次发布之前修复高风险漏洞?延迟发布还是在下一个版本中修复它更好?Chris:解决这个问题的一个方法是制定一个策略来确定这个版本是否可以发布。例如,"必须修复所有高严重性和极高严重性缺陷"使验收标准非常明确。如果您将安全性接受与功能接受的方式相同,那么这就非常有意义。你不会推出一个只有一半功能的新功能,ddos怎么知道自己防御了多少,对吧?另一种方法是逐个处理每个漏洞。挑战是,如果没有一个强大的安全文化,团队可能会面临压力,不管其严重性如何,都要推动发布。Q、 你如何处理常规自动扫描发现的问题?它们是否被添加到第二天的编码活动中?你有过安全冲刺吗?我们的目标是解决sprint中发现的任何问题。这意味着,虽然它可能不是第二天,但它将很快在发布之后和之前。我们考虑过专门的安全冲刺。Q、 谁来做安全培训?开发团队还是安全团队?美容过程中包括哪些检查表?瑞安:安全培训是团队之间的共同努力。在某些情况下,安全代表,我们术语中的安全架构师,会参加整个团队的培训会议。如果整个团队培训会议对安全架构师来说时间太长,他们将在随后不久举行一次单独的、较短的安全培训会议。Q、 与发布工程团队合作对您的成功有多重要?克里斯:最初不是很重要,因为我们没有专门的发布工程。开发和QA团队负责部署这个版本。不过,即使有一个发布工程团队,基于web的ddos攻击与防御,cdn高防ip,大多数的安全工作在最终版本被删减之前都做得很好,所以他们的工作性质没有太大变化。当然,了解发布过程(什么时候是特性冻结、代码冻结、推送之夜等等)以及围绕发布的各种过程,这样作为安全团队的您可以理解他们的观点。Q、 如何处理累积的证券债务?克里斯:第一个挑战是衡量所有的债务,尤其是在拥有真正的SDLC之前积累的债务!即使是你所知道的安全债务也可能永远不会被纳入sprint,因为某些特性总是被认为是更重要的。到目前为止,我们削减安全债务的方法是直接向产品管理部门和技术领先者进行宣传。这不太理想,但总比根本不解决要好。如果你的组织曾经推动减少技术债务,这是一个很好的机会来指出安全债务应该被视为技术债务的一部分。现在我们的问答到此结束。非常感谢所有参加网络研讨会的人,感谢他们使研讨会取得如此巨大的成功。如果您还有任何问题,我们很乐意在下面的评论部分听到您的意见。此外,ddos自动防御设置,如果您有兴趣了解更多关于敏捷安全性的知识,您可能会对Veracode平台工程总监即将举办的在线研讨会感兴趣。4月17日,Peter Chestna将主持一场题为"通过自动化工具链实现安全敏捷:Veracoder&D如何做到这一点"的网络研讨会。在这个网络研讨会上,Peter将分享我们如何利用Veracode的基于云的平台,将应用程序安全测试与我们的敏捷开发工具链(Eclipse、Jenkins、JIRA)集成,以及为什么它对我们的成功至关重要。马上注册!

推荐文章
最近更新