您当前位置:首页 > 资讯中心 > 信息安全

代码安全:持续交付模式会是理想答案吗?

鉴于公司的持续交付(CD)模式,我们公司的开发人员将代码投入到日常生产当中去。尽管开发周期短,但我仍然意识到了安全网关的需求。在这种环境下,该使用何种网关或是其他安全措施?我们是否要继续采用CD模式?

代码安全:持续交付模式会是理想答案吗?

对于软件应用程序开发和交付来讲,持续交付模式意味着开发周期短,同时会较早时间公布新代码,而非推迟或与其他变更中捆绑进行。

从安全角度看,主要问题在于很多实际CD部署只关注测试和尽可能快地发布新特性和功能,缺乏对安全的重视。用户反馈会反映到下一个版本中,但也只是就可用性和功能方面,而非安全。不过,这并不意味着就非要弃用CD不可,因为安全是内置于整个过程中的。

CD模式的核心理念在于创建一个自动化单元测试和集成测试的基线,这也使其本身天然地适用于安全开发实践,只要开发和安全并行即可。带有恰当的安全处理的CD模式可以改善软件的安全性和弹性,因为这样可以在软件开发和部署过程中的关键阶段持续集成安全检查。传统的软件开发在每一个应用代码中引入太多变更,这导致如果测试失败的时候,难以发现问题究竟出在了哪段代码上。

CD模式中的持续代码评估让寻找问题更为简易,加之代码在开发者脑海里总是常新的。当然,建立安全编码规则禁止危险代码结构和功能的使用也是非常重要的,只支持第三方库和组件,且对所有核心功能应执行全面错误和异常处理规定。

一旦新代码进入检测,它应该被自动地进行代码安全评估以查看是否引入了已知漏洞,并对人工检查做好标记。检测已知漏洞非常适合自动化,但更重要的是添加测试场景识别和禁止未知非正常行为。这些测试绝大多数可通过使用内带安全的浏览器自动化工具自动进行。

测试的本质在于和自动化验收测试一样,不过更为针对验证安全特性,如登录和退出,包揽所有可预见的和不可预见的行为。关键在于创建基于应用程序攻击面的测试,详细的威胁模型。且安全团队应该具备块交付能力,如果测试结果表明存在不可接受的风险时。

作者:Grabsun - 发布时间:2015-11-23 - 点击量:3894
公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
联系我们