亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

對于互聯(lián)網(wǎng)和科技企業(yè)來說，“天下武功唯快不破”的時(shí)代已經(jīng)過去。今天，一次重大的算法、產(chǎn)品、數(shù)據(jù)、服務(wù)、內(nèi)容安全事故就可能給企業(yè)帶來無法承受的財(cái)務(wù)、品牌損失甚至生存危機(jī)。沒有安全的敏捷，比沒有敏捷更加可怕。如何實(shí)現(xiàn)“敏捷安全”，正在成為所有“敏捷企業(yè)”的頭等大事。

在人工智能、5G、物聯(lián)網(wǎng)、云計(jì)算的助推下，全球經(jīng)濟(jì)科技競爭日趨白熱化，企業(yè)的核心競爭力是不僅是持續(xù)創(chuàng)新，更強(qiáng)調(diào)快速行動和快速交付（迭代）。因此，全球超過80%的科技企業(yè)（以及很多傳統(tǒng)企業(yè)）已經(jīng)開始踐行敏捷開發(fā)方法。不幸的是，產(chǎn)品和應(yīng)用的快速開發(fā)和交付也為網(wǎng)絡(luò)犯罪分子提供了大量利用機(jī)會，特別是當(dāng)軟件生命周期流程沒有得到足夠的安全防護(hù)時(shí)。

那么，企業(yè)如何使敏捷開發(fā)變得更加安全呢？以下是ISF推薦的10個(gè)原則：

一、定義角色和職責(zé)

負(fù)責(zé)指導(dǎo)敏捷項(xiàng)目的高級領(lǐng)導(dǎo)者必須明確定義安全活動的角色和職責(zé)。這包括建立正式和非正式的匯報(bào)線，以及項(xiàng)目管理行動，如升級安全協(xié)議、強(qiáng)制會議和向安全團(tuán)隊(duì)報(bào)告項(xiàng)目狀態(tài)。這有助于將安全嵌入到敏捷開發(fā)中，同時(shí)培養(yǎng)業(yè)務(wù)IT和安全團(tuán)隊(duì)之間的承諾、責(zé)任和建設(shè)性關(guān)系。

二、投資技能和培訓(xùn)

安全是“全攻全守”的團(tuán)隊(duì)運(yùn)動，除了安全團(tuán)隊(duì)外，所有企業(yè)員工應(yīng)都對安全負(fù)責(zé)。每個(gè)開發(fā)者都需要確保代碼沒有安全漏洞。開發(fā)者經(jīng)常缺乏對安全問題的認(rèn)知和理解，他們傾向于優(yōu)先考慮軟件交付而不是安全事務(wù)。為了賦予開發(fā)者權(quán)力，組織必須投資資源進(jìn)行輔導(dǎo)、指導(dǎo)和提高技能。這包括安全培訓(xùn)和意識課程、來自高級開發(fā)者的指導(dǎo)、專門的敏捷安全培訓(xùn)活動，并經(jīng)常訪問像OWASP、CWE、BSIMM、SAFECode和CERT這樣的免費(fèi)資源。

三、實(shí)施信息風(fēng)險(xiǎn)管理流程

實(shí)現(xiàn)“敏捷安全”需要從開發(fā)生命周期一開始就植入安全性，而不是試圖在完成后再添加。領(lǐng)導(dǎo)層必須推動建立覆蓋整個(gè)開發(fā)生命周期的信息風(fēng)險(xiǎn)管理流程。這包括從安全角度達(dá)成高級應(yīng)用架構(gòu)的共識，確定“安全優(yōu)先”的應(yīng)用和功能列表，進(jìn)行業(yè)務(wù)影響評估，在早期進(jìn)行信息風(fēng)險(xiǎn)和脆弱性評估，以及報(bào)告新識別的風(fēng)險(xiǎn)的流程。領(lǐng)導(dǎo)層應(yīng)該制定明確的信息風(fēng)險(xiǎn)問責(zé)機(jī)制，定義審查風(fēng)險(xiǎn)的流程，并確定風(fēng)險(xiǎn)管理決策方法。

四、用開發(fā)者能理解的方式制定安全要求

使用開發(fā)者的格式（用戶故事、軟件需求規(guī)范、故事映射、線框圖、角色和用例）來明確安全要求，以便開發(fā)者更好地理解、定義和實(shí)施安全規(guī)范。這使得安全要求被視為產(chǎn)品開發(fā)待辦事項(xiàng)中的功能要求，將安全要求轉(zhuǎn)化為任務(wù)，將它們納入需求管理工具，并將它們包括在項(xiàng)目的生產(chǎn)力指標(biāo)中。

五、進(jìn)行威脅建模

定期進(jìn)行威脅建模練習(xí)，以了解應(yīng)用的安全上下文，發(fā)現(xiàn)設(shè)計(jì)中不安全的部分，識別、分析和優(yōu)先考慮威脅；發(fā)現(xiàn)最常見的攻擊技術(shù)和方法，識別哪些威脅需要額外的安全測試，最重要的是，提前制定策略和解決方案來緩解每個(gè)威脅。

六、采用安全編程技術(shù)

要求開發(fā)者采用成熟的安全編程技術(shù)，如配對編程、重構(gòu)、持續(xù)改進(jìn)/持續(xù)開發(fā)、同行評審、安全迭代和測試驅(qū)動的開發(fā)。這提高了應(yīng)用代碼的非功能質(zhì)量，并幫助消除可導(dǎo)致安全漏洞被利用的編程缺陷。此外，安全編程技術(shù)有助于引導(dǎo)不熟悉安全方法的開發(fā)者、并能顯著提升以下開發(fā)場景的安全性，例如應(yīng)用新技術(shù)（如AI或低代碼/無代碼）、開發(fā)應(yīng)用的復(fù)雜部分、集成第三方應(yīng)用或滿足合規(guī)要求等。

七、進(jìn)行獨(dú)立的安全審查

讓獨(dú)立的審查者進(jìn)行靜態(tài)代碼分析和動態(tài)分析。這為產(chǎn)品和應(yīng)用的所有利益相關(guān)者，包括監(jiān)管部門和用戶，提供安全保證。

八、自動化安全測試

通常，安全團(tuán)隊(duì)不可能手動測試和評估每個(gè)敏捷迭代，需要采用某種自動化方法，持續(xù)檢查應(yīng)用代碼的安全性，確保安全相關(guān)任務(wù)始終能一致和有效地完成。此外，通過自動化安全測試分析安全事件還能減輕安全團(tuán)隊(duì)和開發(fā)者的負(fù)擔(dān)。

九、在驗(yàn)收標(biāo)準(zhǔn)中增加安全內(nèi)容

1. 創(chuàng)建、溝通并維護(hù)一套標(biāo)準(zhǔn)的安全驗(yàn)收標(biāo)準(zhǔn)，以確認(rèn)：
2. 對軟件代碼進(jìn)行了獨(dú)立審查。
3. 已完成安全測試。
4. 納入應(yīng)用的代碼（包括開源代碼）是可維護(hù)的、被跟蹤的，并且來自經(jīng)過驗(yàn)證的、有聲譽(yù)的來源。
5. 已成功滿足迭代待辦事項(xiàng)中的要求。
6. 已解決所有缺陷和漏洞，并且已經(jīng)對所有已知的安全問題進(jìn)行了評估和處理。

十、評估安全性能

敏捷項(xiàng)目的安全評估通常并不充分，為了確保應(yīng)用程序在生產(chǎn)環(huán)境中的性能不會受到安全控制的影響，必須進(jìn)行全面的安全性能評估。這包括對應(yīng)用程序進(jìn)行壓力測試、負(fù)載測試和峰值測試，以確保它在各種條件下都能安全、穩(wěn)定地運(yùn)行。

總結(jié)

隨著敏捷開發(fā)方法的廣泛采納，應(yīng)用安全問題變得越來越緊迫和重要。通過遵循上述10個(gè)原則，企業(yè)可以確保敏捷開發(fā)實(shí)踐快速和高效的同時(shí)安全可靠。安全不應(yīng)被視為一個(gè)獨(dú)立的流程或任務(wù)，而應(yīng)被整合到整個(gè)開發(fā)生命周期中，從需求收集到代碼部署，再到維護(hù)和更新。只有這樣，企業(yè)才能確保他們的應(yīng)用程序不僅能滿足業(yè)務(wù)需求，而且能抵御各種網(wǎng)絡(luò)威脅，保護(hù)企業(yè)機(jī)密信息和用戶隱私數(shù)據(jù)，符合國家監(jiān)管法規(guī)。

聲明：本文來自GoUpSec