明镜高悬
止黑守白
随着云计算和人工智能技术的快速发展,企业软件应用与IT业务的融合度越来越高,企业的经营安全在本质上演变为应用安全,而应用安全最核心的要求就是源头治理风险。DevSecOps安全开发体系就是这样一个帮助开发人员高效构建更安全的应用开发流程,将安全贯穿于业务生命周期的每一个环节,从源头及时治理安全问题。DevSecOps赋能:业务全生命周期安全固化对企业而言,安全威胁通常都是防不胜防。如果仅靠后知后觉的安全产品堆叠与单点防护,企业便只能兴叹:亡羊补牢,为时晚矣。DevSecOps也是同理,企业从DevOps到DevSecOps,需要注意的是,不止一个Sec那么简单。DevSecOps本质上是一种文化,不仅仅需要将工具添加到DevOps流程中,还意味着制度、协作方式和人员思想上的转变。让安全工作高效率地、自动化地嵌入到整个DevOps流程中,以此达到敏捷地生产出高安全性应用的目的。同时,从业务源头持续追踪软件供应链在开发、部署、运营等关键环节面临的应用安全脆弱性与未知外部威胁,也能帮助企业真正巩固内生安全体系。
DevSecOps工具:安全重器
往往在实践DevSecOps的过程中,很多企业认为非常复杂且无从下手。事实上,安全的敏捷化是DevSecOps的主要目标,而自动化则是实现目标的主要手段。因此,在切入DevSecOps的过程中,选择合适的自动化测试工具将是行之有效的手段。大国重器,安全同样重器。目前包括传统的SAST、DAST及新兴的IAST、SCA、RASP等,每一个测试工具优劣势各不相同。那么企业该如何选择合适的工具并切入适当的DevSecOps流水线呢?同时DevSecOps解决方案不尽相同,不同企业拥有不一样的业务侧重点,那么DevSecOps企业实践又该如何有效进行?本周三8点,悬镜安全COO董毅为我们分享了《从DevOps到DevSecOps的安全赋能实践》公开课,从应用测试工具、 DevSecOps管道、DevSecOps实践等方面进行了详细介绍。
讲师介绍
董毅,悬镜安全首席运营官
主要负责悬镜安全DevSecOps解决方案的市场工作。曾负责DevSecOps落地实施、安全产品研发、等保咨询、等保建设、风险评估等工作。
公开课回看
