安全管理通常由终端用户担负,而大家较少关心承担构建商品的开发人员。
为了更好地取得成功地将安全性营销推广到开发人员,安全性务必便于布署。这也是有关如何使安全性变成最容易的挑选,使构建安全性的应用软件务必比构建不安全的应用软件更非常容易。
正如思科公司的Wendy Nather在2020年RSA主题演讲中常说:“安全性应当被设计为被布署,而不仅是被设计来申请强制执行。”
伴随着愈来愈多的人选用当代开发设计作法,开发人员被激励承担其商品的公布管理方法生命期。殊不知,应用开发的更快脚步促使安全性精英团队无法紧跟其脚步,并且安全性精英团队通常欠缺資源。安全性精英团队难以立即为开发人员给予可浏览、适用和可使用的具体指导。最终,开发人员沒有得到必需的安全性具体指导,这代表着布署的应用软件通常存有网络安全问题。
殊不知,加重这种挑戰的同样开发设计实践活动也有利于推进技术来处理这种问题。
基础设施建设即编码 (IaC) 就这样一种技术性。当代开发设计实践活动应用IaC将应用软件构架界定为编码,并全自动布署这种构架。根据应用IaC,只需升级编码,应用软件构架便会显得更为安全性和合规管理。IaC有利于为开发人员给予可浏览的、适用的和可使用的手册,具体指导她们的应用软件构架应怎么设计方案,以完成安全性。
安全性民主制需要什么?
安全性精英团队非常少参加开发设计全过程的前期环节。当它们参加时,她们会遵循根据打印纸张的工作内容-在Word文本文档或Excel工作表上。当代安全性作法需要在当代开发设计工作内容中选用自动化技术。这将使安全性精英团队可以查询全部应用软件组成,尽快参加,并在根据IaC开展变更时为开发人员给予具体指导。
为了更好地让开发人员相拥安全性,应偏重于保证安全手册适用已经研发的设备或作用。开发人员通常会忽视或回绝通用性手册,因而手册务必明确且具备关联性。
此外,开发人员和注安师并不是说同一种语言表达。针对开发人员而言,安全性专业术语通常很繁杂或无法打开。因而,一样关键的是,以便于开发人员了解的简洁专业术语给予关键的具体指导。
安全教育培训是安全性民主制的另一个重要构成部分。优良的安全教育培训有利于开发人员掌握安全性定义,而她们不用变成安全性权威专家。该对策还能够协助开发人员能够更好地了解来源于安全性同行业的具体指导。
开发设计精英团队和安全性精英团队中间也应当存有强劲的意见反馈循环系统。因为给予安全性具体指导,意见反馈应促进持续改善。
大家怎样自动化技术安全性作用?
为了更好地使安全性变成摩擦阻力最少的方式,大家必须制订安全性规定,有关“哪些”可浏览和适用,与此同时大家还必须协助开发人员处理“怎样”的问题。IaC构建与如何使用编码有关的手册。假如你能自动化技术实际操作,那麼安全性便会越来越非常简单,便捷开发人员布署。
当最佳实践根据编码自动化技术时,开发人员不用变成安全性权威专家。反过来,开发人员只必须掌握她们的业务流程测试用例及其她们紧紧围绕安全性和合规的总体目标。掌握她们的手机应用程序的要求(她们的顾客到底是谁,应用软件必须遵循什么政策法规或规范这些)早已是她们工作中的一部分。应用这些方式,可清除许多通常阻拦民主制的磨擦文化问题。
在编码中自动化技术最佳实践有利于改善安全性开发设计全过程。大家已经贴近一个零界点,民主制的安全性不仅仅是很有可能的,并且会加强开发人员和安全性精英团队相互关系。