当前位置:主页 > 高防服务器 >

cdn防护_有盾牌的游戏_方法

时间:2021-06-10 22:00来源:E度网络 作者:E度网络 点击:

cdn防护_有盾牌的游戏_方法

"价值流图"—这是一种用于物流和供应链流程的精益方法,对吗?这和软件安全有什么关系?好问题!在80年代,价值流图被应用于日本制造业的物流和供应链过程。制造方法论的成功导致了更广泛的采用,ddos防御方案报价,包括精益软件开发的采用,其中创建和交付软件的过程被映射为材料(工件)和信息流的价值流。这个概念是最近我在参加一个关于应用程序安全ROI的网络研讨会时提出的。我的共同演示者SANS分析师jimbird建议使用价值流分析来确定并减少安全性对工程过程的影响。在他随附的报告中,他写道:"我们不仅需要从风险和直接成本的角度来审视我们的安全决策,还需要考虑它们对工程价值链的影响,以及如何将这些影响降至最低。",当在开发过程中进行安全测试时,从减少影响的角度来看是一个重要的考虑因素——在完整的代码中解决安全问题比在仍然编码时解决它们要麻烦得多。Bird使用了另一个软件组合分析与威胁建模的例子。团队可以很容易地将自动化软件组合分析添加到构建中,而不必更改团队的工作方式。总成本是适度的:工具的前期许可证和集成到构建中。从这一点上说,dns高防cdn怎么样,对于每个构建,反馈都是即时和直接的:工具显示了在哪里发现了漏洞以及它们有多严重,几乎没有误报。更进一步:利用价值流最大化AppSec投资我喜欢这样的想法:在考虑AppSec的整体方法时,ddos攻击防御专用硬件,将这种方法再向前推进一步,并从价值流的角度考虑问题。我们可以应用价值流来了解您的AppSec工具和流程将如何影响您的开发工作流,以及您可以在何处以及如何优化您的AppSec投资。作为Veracode的工程副总裁,我需要在自己的工程团队中优化我的AppSec投资。不断承受着更快、更便宜、更好交付的压力,我需要使AppSec尽可能无缝,同时尽可能降低最大的风险。为此,我从公司的安全策略开始,它定义了我们公司的风险承受能力。在Veracode,我们的风险承受能力非常低;安全是我们业务的核心,我们代表客户处理敏感数据。我们的安全政策规定:推荐的库、框架、嵌入式组件:这是使开发人员的阻力最小的路径成为安全路径的关键。软件许可使用标准易受攻击代码和组件的修复要求对OSS存储库的受控访问从那以后,我会考虑到在应用程序安全性方面的每一个软件价值流的投资。我想确保我的投资与每个价值流的特定复杂性、数据存储需求和其他差异化因素相匹配。例如,我们的一些软件价值流使用不同的软件方法(敏捷、Scrum、DevOps)、不同的工具(Eclipse、JIRA、Jenkins等)、不同的技术和模式(微服务、嵌入式组件等)以及处理不同类型的数据(不同的敏感度)。例如:我们的静态分析产品是我们的软件开发价值流之一。流经该流的数据非常敏感,面对ddos攻击的防御措施,需要AppSec在数据加密和保护方面投入大量资金。相比之下,我们的电子学习产品,另一个价值流,管理通过web界面呈现的不太敏感的数据。eLearning价值流需要较少的面向数据的安全投资,如何破cc防御,主要涉及检查web界面中的漏洞。第三个软件流,我们的产品veracodestaticanalysisidescan(用于安全单元测试)使用了一个全新的连续部署管道。将安全性与此价值流相协调需要将安全性与交付管道进行深度自动化集成。最终,它归结为支持业务和将安全投资映射到业务优先级。从价值流的角度考虑应用程序安全性是创建这种一致性并应用正确的安全技术和方法以最大限度地提高投资回报率的一种方法。正在进行的过程需要注意的是,这不是一个一劳永逸的项目。我从不认为我们在应用程序安全方面的投资是"完整的"。总有产品、技术和流程的变化,而这些变化又需要我们对AppSec的投资进行调整和优化。再次引用SANS的报告:"魔力在于在主动控制、反应敏捷性、对组织面临的风险的容忍度以及选择正确的工具和实践之间找到适当的平衡点,以使应用程序安全而不会减慢开发速度。"了解更多信息在AppSecwebinar和report bundle的SAN ROI中获取有关使用价值流映射优化应用程序安全性投资的更多详细信息。

推荐文章
最近更新