你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
应用程序安全性和 DevSecOps 功能
应用程序安全性和 DevSecOps 的目标是将安全保证集成到开发过程和自定义业务线 (LOB) 应用程序中。
现代化
应用程序开发正同时在多个方面快速重塑,包括 DevOps 团队模型、DevOps 快速发布节奏,以及通过云服务和 API 实现的应用程序技术组合。 了解云正在如何改变安全关系和责任,以了解这些变化。
这种过时开发模型的现代化为实现应用程序和开发过程的安全性的现代化提供了机会,同时也提出了要求。 将安全性融入 DevOps 进程通常被称为 DevSecOps,并可推动以下变更:
- 安全性是集成的,而不是外部审批:应用程序开发中的快速变化使典型的“扫描和报告”方法变得过时。 如果不使开发慢慢停止、延迟上市时间、使开发人员利用不足并增加问题积压工作,这些旧方法将无法跟上发布。
- 左移,以在应用程序开发过程中更早地使用安全性,因为更早地解决问题成本更低、更快且更加有效。 在糕饼烤好之后再改变形状就比较困难了。
- 本机集成:必须无缝集成安全实践,以避免在开发工作流和持续集成/持续部署 (CI/CD) 过程中出现不正常的摩擦。 有关 GitHub 方法的详细信息,请参阅一起保护软件。
- 高质量安全性:安全性必须提供高质量的发现和指导,使开发人员能够快速解决问题,并且不会因为误报而浪费开发人员的时间。
- 融合文化:安全、开发和运营角色应为共享文化、共享价值观、共享目标和责任贡献关键要素。
- 敏捷安全性:将安全性从“必须完美交付”方法转变为一种敏捷方法,该方法从应用程序(以及开发应用程序的过程)的最低可行安全性开始,并以增量方式不断改进。
- 采用云原生基础结构和安全功能,以简化开发过程,同时集成安全性。
- 供应链风险管理:对开源软件 (OSS) 和第三方组件采用零信任方法,以验证其完整性,并确保对这些组件应用 bug 修复和更新。
- 持续学习:开发人员服务(有时称为平台即服务 (PaaS) 服务)的快速发布,以及应用程序组成的变化意味着开发、运营和安全团队成员将不断学习新技术。
- 对应用程序安全性使用编程方法,以确保持续改进敏捷方法。
有关其他上下文,请参阅 Microsoft 安全开发生命周期。
团队组成和关键关系
应用程序安全性和 DevSecOps 功能最好由安全感知开发人员和运营团队(在安全主题专家的支持下)执行。
该功能通常与其他功能和专家进行交互,包括:
- 安全体系结构和运营
- 基础结构安全性
- 通信(训练和工具)
- 人员安全性
- 标识和密钥
- 合规性/风险管理团队
- 关键业务负责人或他们的代表
后续步骤
查看数据安全性的功能。