从SDLC到DevSecOps的转变

已于 2023-04-25 14:41:26 修改
阅读量524 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 持续交付和持续测试 文章标签: 安全 网络 web安全
于 2022-11-29 10:11:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/crisschan/article/details/128091248
本文介绍了从SDLC到DevSecOps的转变,探讨了OSSTMM、SDLC流程中的安全测试,如漏洞扫描、安全扫描、渗透测试等,并阐述了DevSecOps的核心理念、优越性和实施步骤,旨在提升软件开发中的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述

OSSTMM

根据开源安全测试方法手册OSSTMM(Open Source Security Testing Methodology Manual)的表述,安全测试包括但不限于以下几种做法:漏洞扫描、安全扫描、渗透测试、风险评估、安全审核、'道德’黑客,下面对几种常用方法进行概念介绍:

  • 1 漏洞扫描:漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测行为。
  • 2 安全扫描:安全扫描技术是指手工或使用特定的自动软件工具–安全扫描器,对系统风险进行评估,寻找可能对系统造成损害的安全问题。扫描主要涉及系统和网络两个方面,系统扫描侧重单个用户系统的平台安全性以及基于此平台的应用系统的安全,而网络扫描侧重于系统提供的网络应用和服务及相关的协议分析。
  • 3 渗透测试:通过人工或自动的渗透测试方式对应用进行全面检测,并挖掘出应用源码中可能存在的安全风险、漏洞等问题。渗透测试能够帮助业务方直观的知道自己应用所面临的问题,帮助业务方了解并提高其应用开发程序的安全性,有效预防可能存在的安全风险。
  • 4 风险评估:从信息安全的角度来讲,风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。
  • 5 安全审核:内容安全审核已成为以短视频、新闻资讯,直播等平台优先级最
了解本专栏 订阅专栏 解锁全文 超级会员免费看
SDLCSDLDevSecOps概要区别
墨痕诉清风的博客
01-26 1190
SDLC(Systems Development Life Cycle)是系统开发生命周期的英文缩写,是一个用于规划、开发、测试和维护信息系统的框架。它提供了一个系统性的方法,以确保在开发过程中每个阶段的有效性和质量。SDLC将信息系统开发过程分为几个阶段,包括规划、需求分析、设计、开发、测试、部署和维护。在SDLC中,规划阶段是至关重要的,因为它涉及到确定项目的范围、目标、限制和约束。需求分析阶段则是收集和理解用户需求的过程,以便为项目提供明确的指导。
4637字,看懂从DevOps到DevSecOps的进化之路
大数据
12-15 4158
作者:周纪海 周一帆 马松松 陶芬 杨伟强 程胜聪 陈亚平来源:大数据DT(ID:hzdashuju)维基百科上,DevOps(Development和Operations的组合词)是指一...
浅谈应用安全之S-SDLCDevSecOps(一)
hobby云说
05-01 1872
有人的地方就有江湖,有江湖的地方就有争论,豆花是甜的好还是咸的好?S-SDLC好还是DevSecOps好?
SDL学习】来自华泰证券DevSecOps
Websec
12-25 561
一: 安全地软件开发中的挑战 二:DevSecOps? 三: CSO适应“快速” 四:BUILD SECURITY IN-开发过程的安全嵌入 五:DEVSECOPS中可以集成的工具 六:走过的路…
DevSecOps
cute_phoebe的博客
02-28 495
DevSecOpsSDL
DevSecOps基本概念介绍
m0_51186260的博客
09-11 1004
DevSecOps包括创立一种安全即代码(Security as Code)的文化,从而在发布开发工程师和安全团队之间,建立一种可以持续的,灵活合作的机制和流程,从而把在传统软件开发流程里面最后由安全测试团队把关扫描的安全工作,左移到整个软件开发的全流程,从而大大降低了应用在上线后出现的安全隐患,也大大加快了上线的速度,同时也让其他非安全团队的软件人员在设计、开发、测试、发布的全过程中具备安全意识,以避免后续反复多次的补救,甚至需要推翻整个产品重新开发的尴尬局面。
DevOps到DevSecOps实践指南:落地要点解析
为了实现从DevOps到DevSecOps转变,组织需要采用一系列策略和工具,包括但不限于以下几个方面: 1. 安全性意识培训:将安全培训作为开发团队的常规活动,确保每位成员都意识到安全的重要性,并且了解如何在日常...
关于DevSecOps 企业实践白皮书的分析说明.zip
11-05
DevSecOps,即开发安全运维,是一种将安全性集成到整个软件开发生命周期(SDLC)中的方法论。这种模式强调了安全团队开发、运维团队的紧密协作,以确保在软件设计、编码、测试、部署直至运行阶段都充分考虑安全...
DevSecOps实践:安全贯穿开发运维全程
DevSecOps 不仅仅是一个角色或技术整合,而是一种团队工作方式,它要求每个参者在从开发到运营的每一个阶段都考虑安全安全DevSecOps中的重要性体现在安全修复成本曲线上,随着问题在开发过程后期被发现,其...
企业安全DevSecOps概述详情
王嘟嘟的博客
10-25 1406
下图是DevSecOps的流程嵌入图计划创建验证预发布检测响应预测适应具体的实施还是需求根据环境的变化来进行变化,从而进行调整达到和企业的适配程度,从基层开始提高安全程度。SDL是Simple DirectMedia Layer(简单直接媒体层)的缩写,是一个跨平台的多媒体库,它提供了一个简单的API,允许开发者轻松地使用音频、视频、输入设备和图形硬件等多媒体资源。SDL最初是为游戏开发而设计的,但它的高效性和跨平台特性使其也被广泛应用于其它领域,如图像处理、模拟器等。
DevSecOps的三种解读
03-03
DevSecOps和DevOps一样,可以有多种解释,前三种解释涉及人、过程和技术第一个含义是确保DevOps技术的安全性,这意味着调整现有的解决方案使其可用于新的技术栈,或者构建新的工具来解决新的安全问题第二个含义是确保DevOps方法的安全性,即更改安全控制应用程序和开发过程相互作用的时间和方式第三个含义是适应DevOps共享所有权的哲学,使开发和运维团队拥有更多的安全责任和活动要真正地拥抱DevSecOps,首先要采用它的哲学,这才能得出正确的方法和相应的技术DevSecOps现在是一个热门词汇,我喜欢它,也讨厌它。我喜欢它,因为它具体化了美国证券交易委员会行业(包括我在内)多年来一直
安全技术&工具扫盲
Love&Share
04-27 1754
安全技术 SAST - 静态应用安全测试(白盒检测) DAST - 动态应用安全测试(黑盒检测) IAST - 交互式应用安全测试(灰盒检测) RASP - 运行时应用自我保护 Dependency Scanning(依赖项安全扫描) Secrets Detection(机密信息检测) 八款免费开发安全测试工具 安全工具 Snort Snort 是一个免费的、开源的网络入侵防御和检测系统。它使用基于规则的语言,执行协议分析、内容搜索/匹配,并可用于检测各种攻击和探测,如缓冲区溢出、隐形端口扫描、CGI.
DevSecOps 概述
王嘟嘟的博客
04-01 2118
SDL针对瀑布式开发模型,DevSecOps适配的就是敏捷开发流程,也就是常说的DevOps。本篇是针对DevSecOps的概述。
DevSecOps(Development Security Operations)是一种融合软件开发(Dev)、安全(Sec)和运维(Ops)的实践方法论,旨在将安全无缝嵌入软件开发生命周期(SDL
最新发布
weixin_60830013的博客
04-01 1026
DevSecOps(Development Security Operations)是一种融合软件开发(Dev)、安全(Sec)和运维(Ops)的实践方法论,旨在将安全无缝嵌入软件开发生命周期(SDLC)的每个阶段,实现快速交付持续安全的平衡。通过全员参、自动化工具和持续改进,企业能够在快速迭代中保障软件安全,应对日益复杂的网络威胁,最终实现业务安全的双赢。通过自动化工具链(如 SAST、DAST、SCA 等)在代码提交、构建、测试、部署等环节自动执行安全检测,确保安全开发节奏同步。
一文读懂 DevSecOps:工作原理、优势和实现
分享 GPU 管理与大模型推理相关技术实践
10-26 2158
DevSecOps 是描述开发、安全和运维集成的术语。它是一种文化、自动化和平台设计策略,强调安全是整个 IT 生命周期中的共同责任。DevSecOps 从一开始就考虑到安全性来创建应用程序和基础设施的做法,同时涉及自动化安全检查,以免减慢当前的 DevOps 流程。为了满足安全目标,安全团队为持续集成安全选择和配备合适、正确的工具来满足必要的保护。
DevSecOps 工具:初学者指南
网络研究观
01-07 4780
随着开发环境的发展,保持领先于潜在威胁需要采取主动和集成的方法。
SDLDevSecOps:腾讯云是如何更早地收敛安全漏洞的?
QcloudCommunity的博客
06-05 1194
导语 |随着互联网技术的不断迭代更新,信息安全领域的内涵也在不断发展,安全研发技术的地位也愈加凸显。本文作者来自腾讯安全云鼎实验室,新近参了《研发运营一体化(DevOps)能力成熟度...
devsecops的理解建设
Shanfenglan's blog
03-02 5166
文章目录1.前言2.devops3.devsecops3.1 SDL3.2 devops对SDL的挑战3.3 DevSecOps原则1.安全左移2.默认安全3.运行时安全4.安全服务自动化/自助化5.基础设施即代码6.利用持续集成和交付7.需要组织和文化建设4.devsecops实践参考文章 1.前言 时常看到devops、devsecops可以一直没有用心研究过,今天对其做一个小小的研究总结。 2.devops devops的中文含义是development & operation,也就是开发
软件测试基础知识详解:从SDLC到测试概念
在软件测试领域,理解软件生命周期(SDLC)至关重要。SDLC的六个阶段是软件开发过程中的关键步骤: 1. 问题的定义及规划:此阶段主要由需求方和开发方共同参,旨在明确软件开发的目标,并评估其可行性,确保项目...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

质问

开心就好

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值