SDLC開(kāi)發(fā)過(guò)程中基于DevSecOps理念的解決方案是什么

2019年年初，拼多多APP出現(xiàn)重大BUG，用戶可以在沒(méi)有任何限制的情況下無(wú)限領(lǐng)取100元無(wú)門檻優(yōu)惠券。據(jù)不完全統(tǒng)計(jì)，一晚上的時(shí)間直接造成拼多多損失的優(yōu)惠券面額達(dá)200多億。根據(jù)拼多多官方報(bào)道，此次事件是黑灰產(chǎn)團(tuán)伙通過(guò)一個(gè)過(guò)期優(yōu)惠券的漏洞，盜取了平臺(tái)優(yōu)惠券數(shù)千萬(wàn)元。

2018年年底，上海警方成功搗毀一個(gè)利用網(wǎng)上銀行漏洞非法獲利的犯罪團(tuán)伙，該團(tuán)伙成員發(fā)現(xiàn)并利用某銀行APP軟件中的質(zhì)押貸款業(yè)務(wù)安全漏洞，使用非法手段累計(jì)非法獲利2800余萬(wàn)元。

2018年11月，臺(tái)灣地區(qū)金管會(huì)銀行局副局長(zhǎng)王立群表示，美國(guó)花旗銀行辦理信用卡業(yè)務(wù)的預(yù)繳卡費(fèi)交易系統(tǒng)漏洞，此前遭到客戶利用，刷卡消費(fèi)達(dá)6300余萬(wàn)元新臺(tái)幣（約合人民幣1345萬(wàn)元）。

在快節(jié)奏的軟件開(kāi)發(fā)與應(yīng)用漏洞頻繁的環(huán)境下，解決軟件漏洞問(wèn)題是軟件開(kāi)發(fā)團(tuán)隊(duì)不得不面臨的一個(gè)艱巨任務(wù)。

自2004年起，SDLC就成為Microsoft全公司的計(jì)劃和強(qiáng)制施行政策。安全開(kāi)發(fā)生命周期（SDLC）即Security Development Life Cycle，是一個(gè)幫助開(kāi)發(fā)人員構(gòu)建更安全軟件、滿足安全合規(guī)要求的同時(shí)降低開(kāi)發(fā)成本的軟件開(kāi)發(fā)過(guò)程。其核心理念就是將安全考慮集成在軟件開(kāi)發(fā)的每一個(gè)階段:需求分析、設(shè)計(jì)、編碼、測(cè)試和維護(hù)。從需求、設(shè)計(jì)到發(fā)布產(chǎn)品的每一個(gè)階段都增加了相應(yīng)的安全活動(dòng)與規(guī)范，以減少軟件中漏洞的數(shù)量并將安全缺陷降低到最小程度。安全開(kāi)發(fā)生命周期 (SDLC)是側(cè)重于軟件開(kāi)發(fā)的安全保證過(guò)程，旨在開(kāi)發(fā)出安全的軟件應(yīng)用。

Microsoft 安全開(kāi)發(fā)生命周期 – 簡(jiǎn)化（中文版）

當(dāng)前的軟件系統(tǒng)開(kāi)發(fā)過(guò)程通常包括編碼、單元測(cè)試、集成測(cè)試、處理Bug等步驟。隨著系統(tǒng)復(fù)雜度的增加，模塊之間的依賴關(guān)系越來(lái)越復(fù)雜，很多Bug要到項(xiàng)目集成時(shí)才能發(fā)現(xiàn)，而且距離開(kāi)發(fā)階段越久，Bug修復(fù)成本就越高。

隨著DevOps的出現(xiàn)，軟件開(kāi)發(fā)和部署過(guò)程變得更快，迭代更加頻繁。為了在不犧牲速度和生產(chǎn)力的情況下有效降低風(fēng)險(xiǎn)，企業(yè)需要將安全性融入到DevOps流程和工具鏈。這一點(diǎn)比以往更加重要。懸鏡安全提供SDLC全開(kāi)發(fā)流程DevSecOps自適應(yīng)威脅管理體系解決方案。

在項(xiàng)目研發(fā)階段，懸鏡提供以懸鏡靈脈AI滲透測(cè)試平臺(tái)為核心的安全開(kāi)發(fā)解決方案。懸鏡靈脈采用Gartner十大信息安全技術(shù)之一的IAST（交互式應(yīng)用安全測(cè)試）灰盒測(cè)試技術(shù)方案，其AI啟發(fā)式網(wǎng)站掃描引擎可協(xié)助研發(fā)工程師、測(cè)試工程師、項(xiàng)目經(jīng)理等非安全人員完成系統(tǒng)的漏洞測(cè)試。懸鏡靈脈不僅可以解決傳統(tǒng)黑盒掃描方式中爬蟲(chóng)功能的局限性，還能夠?qū)I滲透測(cè)試無(wú)感地內(nèi)化于SDL流程之中，大大減少了企業(yè)安全測(cè)試人員的人力成本。

*IAST交互式安全測(cè)試工具是全新一代“灰盒”代碼審計(jì)、安全測(cè)試和第三方軟件檢測(cè)產(chǎn)品，是近年來(lái)興起的一項(xiàng)新技術(shù)，被Gartner公司列為信息安全領(lǐng)域的Top10技術(shù)之一。融合了SAST和DAST技術(shù)的優(yōu)點(diǎn)，無(wú)需源碼，支持對(duì)字節(jié)碼的檢測(cè)。IAST極大的提高了安全測(cè)試的效率和準(zhǔn)確率，良好地適用于敏捷開(kāi)發(fā)與DevOps，可以在軟件的開(kāi)發(fā)和測(cè)試階段無(wú)縫集成現(xiàn)有開(kāi)發(fā)流程，讓開(kāi)發(fā)人員和測(cè)試人員在執(zhí)行功能測(cè)試的同時(shí)，無(wú)感知地完成安全測(cè)試。

針對(duì)項(xiàng)目運(yùn)營(yíng)階段，懸鏡安全推出以懸鏡云衛(wèi)士為核心的主機(jī)安全防御方案。懸鏡云衛(wèi)士基于ASA自適應(yīng)安全架構(gòu)，從企業(yè)安全管理視角精準(zhǔn)梳理IT資產(chǎn)，動(dòng)態(tài)量化安全風(fēng)險(xiǎn)，提前做好塔防式安全防御體系，并基于攻擊鏈多錨點(diǎn)檢測(cè)技術(shù)實(shí)現(xiàn)黑客入侵的實(shí)時(shí)監(jiān)測(cè)和響應(yīng)，第一時(shí)間預(yù)警客戶并提供安全技術(shù)支持，及時(shí)規(guī)避漏洞風(fēng)險(xiǎn)。

關(guān)于SDLC開(kāi)發(fā)過(guò)程中基于DevSecOps理念的解決方案是什么問(wèn)題的解答就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，如果你還有很多疑惑沒(méi)有解開(kāi)，可以關(guān)注億速云行業(yè)資訊頻道了解更多相關(guān)知識(shí)。