2018-06-29 08:20:00 愛碼農

讓我們解開2018年DevSecOps社區報告數據以及它對DevOps的開發人員和未來意味著什麼。

2018年DevSecOps社區報告已經發布，對於那些繼DevOps成長以及隨後進入安全社區的人而言，DevSecOps名下的結果並不令人意外。事實上，我著手撰寫一些報告中的熱點話題，這些熱點話題將真正深入到DevOps世界對安全性的存在性評估中，但最終，報告中的內容更加流行。不要認為這是沒有意義的 - 事實上，我認為調查結果對於我們前進的道路來說非常有意義和信息量。

Signal Sciences很高興與Sonatype，卡內基梅隆公司的軟件工程研究所，Contino，DZone，Ranger4和SJ Technologies在今年的報告中進行合作。DevOps和DevSecOps對我們來說非常親近，因為我們的產品源於Etsy採用DevOps實踐並滿足安全需求。我們獨特的新一代WAF和RASP混合體系由專業人員有目的地構建，以應對來自DevOps和雲計算的挑戰。除了之前列出的所有優秀公司之外，我們還提供免費的PDF版本的報告，並且我們最近還與Derek Weeks一起就現代安全系列劇集進行了談論。如果您發現本文的其餘部分很有意思，您肯定希望查看這兩種資源。

現在來看報告中兩篇不太熱的文章！

＃1：開發人員是人

我們是人類。作為開發人員，我們處理大量的複雜問題。製作軟件的大部分工作涉及抽象這種複雜性，因此可以合理而獨立地處理問題。當我們記住開發人員是處理複雜系統的人類時，應該不會引入錯誤 - 我們經常將這些錯誤稱為錯誤。從這些錯誤中，一定比例將與安全相關，其中一部分將被利用。由於代碼和庫重用 - 這對抽象系統複雜性非常重要 - 這些錯誤有時會導致非常嚴重和非常普遍的問題。

這是開發者的錯嗎？不，這是人類的神器。人非聖賢孰能。

應用程序安全方案的最近十年以高優先級對待“開發者安全培訓”，但這已被證明無效。安全性假定開發人員可以被修復並接受過編寫安全代碼的培訓。你不能訓練我們的人性。

作為一個行業，由於安全性與開發人員的脫節，我們做到了這一點。這是一個難以解決的問題，不能通過簡單地教某人如何編寫更安全的代碼來克服。當然，你可以提高對常見問題的意識，並且可以降低錯誤率，但是單靠這種方法是無法克服的。

安全已經使大多數組織的開發團隊失敗，而不是相反。

大多數開發人員想要“做”安全。在2018 DevSecOps社區研究報告多針對開發者和他們報告說，他們知道安全性是重要的，但關於一個組織，我們沒有足夠的時間花在了一半的工作。

48％的開發人員沒有足夠的時間花在安全性上（2018年DevSecOps社區調查的結果）。

安全是一個組織問題，開發人員需要時間來處理安全問題。這意味著像安全系統中的其他錯誤一樣對待安全性。花費設計時間，提交衝刺寫安全測試，或添加安全儀器以提供生產可視性。

應用程序是新的目標

還記得你什麼時候可以隔離一個網段，快樂地度過你的一天？好的'DMZ'所有的東西'的方法是偉大的。然而，在當今世界，這不是一個合適的防守，因為外圍已經消失，並已被軟件取代。

迪士尼動畫公司的高級系統工程師Justin Garrison在他關於新的開放系統互連（OSI）模型的推文中尖銳地指出了這一點。更容易理解，也更容易記住！除了笑話之外，我們從雲到微服務到無服務器的計算方式已徹底改變了軟件工程的根源。我們知道的網絡不再存在。

儘管這是事實，但在許多組織中，網絡安全解決方案仍然佔大部分支出。這是安全行業無法跟上不斷髮展的攻擊面的一個很好的例子。在報告中，發現了一個非常明顯的統計數據：

38％的受訪者表示在過去的12個月內（2018 DevSecOps社區調查的結果）發現了網絡應用程序違規或可疑的違規行為。

由於應用程序是攻擊者的新入口點，因此必須考慮到我們採取防禦措施的方式。如果您不是在考慮安全性的情況下對應用程序進行測試，那麼您就會忽略瞭解瞭解實際發生的攻擊以及它們是否取得成功。在Signal Sciences，檢測Web應用程序運行時檢測安全事件正是我們所做的。我們環顧四周，發現遺留的Web應用防火牆（WAF）缺乏向開發人員提供有意義的反饋。

事實上，在Signal Sciences，我們看到在運行時在Web應用程序中提供保護和反饋非常關鍵，以至於我們建立公司專注於它。我們構建了一款產品，以防範您的Web應用程序和API實際面臨的全部威脅。我們儀器和防禦：

賬戶的收購
業務邏輯攻擊
應用程序的濫用和誤用
機器人
DoS應用程
OWASP前10名（XSS，SQLi，Command Exec，...）

我們知道安全必須改變，以對開發人員有意義的方式提供反饋。

我們很高興能成為今年報告的合作伙伴。我們獨特的下一代WAF和RASP的混合體是由從業者有意構建的，用於處理來自DevOps和cloud的挑戰。要了解更多細節，請下載完整的2018年DevSecOps社區報告，並對數據進行深入分析，請參閱我們與Sonatype的Derek Weeks合作的現代安全系列網絡研討會。

分享到:

閱讀更多 愛碼農 的文章

關鍵字: 軟件工程機器人網絡安全