iT邦幫忙

2024 iThome 鐵人賽

DAY 10
0

今年 9/11 ~ 9/13 參加由 iThome 主辦的 Hello World Dev Conference,接觸到很多新領域、新關鍵字以及新嘗試,包含:參加工作坊以及會後和講者的面對面討論。為了讓這些難得的體驗留存久一點,想藉由鐵人賽記錄下來

前言

這場研討會有一類主題是 DevSec,參考議程官網的介紹:

DevSec 指的是,在需求收集、設計、開發、測試、部署和維護等過程中,融入有效的資安措施,從根本上提升軟體和服務的安全性。

主題會聚焦在制定安全需求和設計、採用安全編碼標準和程式審查、實施自動化安全測試、管理風險和遵循合規性、擴展資安至上游流程,以及強化軟體供應鏈和產品安全...等

『 恩,關鍵字 安全安全安全


DevSecOps

DevSecOps 指的是 Develop + Security + Operation,是 DevOps 延伸的進化版,把 Security 納入進來。

參考 DevSecOps是什麼?如何做到讓軟體開發更快、更安全? 中的解釋:

  • DevSecOps的核心理念是,安全應該成為整個軟體開發生命週期的一部分,而不是只是開發完成後再去考慮。
  • 傳統的開發模式通常是開發完成後再將安全考慮進去,這往往會造成許多問題和風險。例如,開發人員可能會忽略一些安全問題,因為他們不了解這些問題的重要性,或者他們將這些問題留給安全團隊去處理。

可以怎麼做

  1. 安全性左移 (安全測試或是檢驗移至開發初期,及早發現問題、預防漏洞)
  2. 盡量自動化 (手動易出錯)
  3. 安全性的工具整合至自動化 CI/CD 中
  4. 開發、安全、營運團隊的互相協作

補充

盡可能所有階段都考量到 安全性,避免之後花更多時間處理漏洞或威脅
https://ithelp.ithome.com.tw/upload/images/20240922/20128122G4WaEWIQ1d.png
圖取自 What is Shift left security? Why it is critical for organizations in 2024?


參考資源

DevSecOps是什麼?如何做到讓軟體開發更快、更安全?
DevSecOps 方法的重要性


上一篇
[測試] 別人怎麼寫
下一篇
[Conf] SonarQube & SonarLint
系列文
那些經過腦海一瞬的關鍵字們30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言