歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
[淺談DevSecOps] 如何兼顧產品開發的敏捷度與安全性?
2020 / 07 / 21
安華聯網科技Onward Security
過往慘痛的案例告訴我們,DecvSecOps的重要性。2019年,Facebook再次被爆出個資洩漏事件,位於暗網的線上資料庫,有超過2.67億個Facebook使用者個人資料被洩漏,包含使用者的姓名,Facebook的ID,以及電話號碼,這些使用者中可能受到垃圾郵件或釣魚郵件的網路攻擊,這使得Facebook遭受到信用的損失和股價的重挫。
對於很多企業而言,Cloud和DevOps是推動企業業務發展的關鍵技術引擎。企業的IT、安全和開發人員都知道Cloud和DevOps環境中,有大量的敏感訊息(如secret key)需要保護,儘管大部分的人都有安全意識,但我們仍能看到諸多的重要資料洩漏事件。
在網路急速發展的大數據時代,很多企業都貫徹「敏捷」的思維和行動,這是一個同時需要面對不同風險的信號,並且正在不斷被驗証。越來越多的消費者、監管機構和市場發現,由此所造成的資料洩漏的代價是高的、無法接受的。事實上,很多資料洩露事件都是可以提前預防的。透過DevSecOps的概念的推動,與自動化系統的輔助,這些問題與風險都將被有效的降低,並可確保產出的安全與品質。而要做好DevSecOps的導入並不是這麼容易,本文將說明建置DevSecOps時的關鍵事項,以及如何更有效率且有效益的達成此目標。
DevSecOps的精神在於文化
DevSecOps是Development、Security和Operations的縮寫。DevSecOps的基本理念是讓每一個解決方案、開發測試、IT與維運及多個跨部門協作人員,都能融入開發的安全理念,並正確的理解DevOps的敏捷做法與含義,也就是說DevSecOps是一個群體做法,核心理念為「安全是整個團隊所有成員的責任,需要貫穿整個軟體生命週期的每一個環節。」,簡單來說,DevSecOps就是一種安全即文化的實現,因此,最重要的是,將DevSecOps中的安全環節,與每個團隊的利益相互結合,最終須融入整個企業文化中。
團隊合作實踐資安
DevSecOps的一大重點是讓開發團隊、維運團隊及資安團隊彼此相互合作,能站在對方的角度客觀看待問題,解決過去互相對立或牽制的問題。維運人員通常不太了解開發或資安,而開發人員也不擅長維運或資安;DevSecOps就是希望打破這條隔閡,將「做資安」的權限與責任進行分工,並讓資安團隊參與其中,居中溝通協調,一起主動實踐資安、一起面對和處理弱點、一起讓產品更安全。
下一篇, 安華聯網科技資安團隊將分享DevSecOps與自動化的相輔相成與探討DevSecOps在資安角度上的重要環節處與精神何在。
敬請期待。
安華聯網 公司簡介
安華聯網是連網產品資安合規解決方案的國際領導廠商,成立於2014年,除具備國際級的實驗室外,更自主開發自動化AI資安評估產品,擁有多國專利與國際獎項,可提供政府單位、IoT/IIoT設備商、金融、電信等產業客戶取得資安認證,並發掘潛在的資安威脅與弱點,保障重要資訊或產品安全,符合資安法規及產業標準的要求。
https://www.onwardsecurity.com/
安華聯網科技 Onward
DevSecOps
最新活動
2024.12.19
2024 企業資安前瞻論壇 : 迎向複雜資安威脅的新時代
2024.12.19
數位轉型與資安未來-打造企業級基礎設施、網路安全與API管理
2024.12.20
『Silverfort Essential︰統一身份保護平台套件』 網路研討會
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
企業 VPN 更新機制遭攻破,研究人員揭露權限提升攻擊鏈
重大供應鏈攻擊又一樁! 美國供應鏈管理軟體大廠 Blue Yonder 遭勒索攻擊,星巴克等企業營運受阻
Matrix 殭屍網路肆虐全球,藉 IoT 設備發動大規模 DDoS 攻擊
中國駭客組織「鹽颱風」利用新型 GhostSpider 後門程式攻擊電信業者
TWNIC報告:51.22%受訪者表示不信任政府有應對網路攻擊的能力
資安人科技網
文章推薦
多家依賴 CDN 業者提供 WAF 服務的企業用戶因設定不當暴露於資安威脅
聯合情資示警:中國政府支持的網路間諜行動鎖定各國電信網路
美國CISA示警Zyxel等品牌之網路設備遭受攻擊中