iT邦幫忙

2024 iThome 鐵人賽

DAY 30
0
Security

資安銷售系列 第 30

在我生命中的每一天 !

  • 分享至 

  • xImage
  •  

看時光飛逝,我祈禱明天,每個小小的夢想能夠慢慢的實現 !
我是如此平凡,卻又如此幸運,我要說聲謝謝你,在我生命中的每一天 !
(這是一首歌 - 在我生命中的每一天)
感謝許多夥伴在每個專案中給予我支持,在產品介紹、在需求訪談、在功能測試、在報告撰寫,在技術支援.... ; 我所有的經歷都因他們而得以前進、共成就、共喜樂、共承受失敗 ; 因而我得以在這過程中豐富自己,裝扮自己。
因為這次參賽,整理了這幾年的銷售經驗,因為要訴諸文字,我在網路上爬呀爬,也因為這樣温故而知新。但確實有一塊領域是我較少接觸-DevSecOps,因為對軟體開發及維運較没有接觸,講不出生動的故事情節及大道理,但對於應用軟體的安全檢測工具,我們MSSP資訊安全服務商倒是自已用的多。

一、DevOps與DevSecOps

  • DevOps:開發(Development)+ 維運(Operations),開發與營運團隊加強溝通合作,讓流程更敏捷和自動化。
  • DevSecOps:開發(Development)+ 資安(Security)+ 維運(Operations),加入資訊安全成為整個團隊的責任,貫穿軟體開發的每一個環節。

二、DevSecOps的實施

  1. 評估和計劃:
    確定應用程式的安全性和合規性要求,評估現有的安全性做法和工具,制定計劃以實現DevSecOps目標。
  2. 左移安全性:
    將安全性左移到軟體開發生命週期(SDLC)的早期階段,這意味著在編寫程式碼時就考慮安全性,並使用靜態應用程式安全測試(SAST)、動態應用程式安全測試(DAST)等工具進行檢查。
  3. 自動化:
    自動化安全檢查和測試流程,以減少手動錯誤並提高效率。這包括自動化的漏洞掃描、配置檢查和日誌監控。
  4. 整合工具:
    使用適當的工具來支持DevSecOps,例如SAST、DAST、互動式應用程式安全測試(IAST)和來源組合分析(SCA)等。
  5. 持續學習與改進:
    持續進行安全性風險評估,並根據最新的威脅情報和攻擊技術調整安全策略和控制措施。

三、SAST,DAST,IAST、SCA
AST(Application Security Test,應用安全測試)工具是應用程式軟體安全實踐的支柱之一。隨著近年來安全越來越得到重視,AST們也發生著快速的疊代和變化,成為信息安全領域的當紅炸子雞。

  1. SAST
    SAST(Static Application Security Testing,靜態應用程式安全測試)對應用程式原始碼執行直接的白箱分析。分析是在代碼的靜態視圖上運行的,這意味著代碼在審查時沒有運行。如今,SAST已經完全成為主流,並且在整個軟體行業中被廣泛採用。
  2. DAST
    與SAST相反,DAST(Dynamic Application Security Testing,動態應用程式安全測試)對應用程式進行黑箱分析,這意味著它們不能訪問代碼或實現細節。DAST只檢查系統對潛在漏洞測試的請求和響應。換言之,DAST是外部的漏洞掃描程序。
  3. IAST
    IAST(Interactive Application Security Testing,交互式應用程式安全測試)結合了SAST和DAST的優點。IAST可以像SAST一樣看到原始碼,也可以像DAST一樣看到應用程式運行時的執行流。
  4. SCM
    SCM(Software composition analysis,軟件組成分析)是針對軟件的分析,偵測是否有使用開放原始碼(open source)元件,軟體元件是否為最新版本,是否有會影響安全的漏洞,或是其中有需要授權(licensing)才能合法使用的組件。

讓我將生命中最閃亮的那一段與您分享,讓我用每一天的用心來表達對您的真心真意!
這是使用微軟AI-Copilot繪出。昨天早上禱告時看到自己在天空中飛翔往下俯瞰,其實我不止一次看到這景況 ; 這讓我覺得是天父在告訴我 : 由上往下看,可以有很大的天空,應該開創屬天來的職責,不應在世間鎖碎之間來回。
https://ithelp.ithome.com.tw/upload/images/20240910/20168627PApEb7LcGE.jpg


上一篇
凡人生活在繼續 !
下一篇
肥羊謝謝大家的支持 !
系列文
資安銷售31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言