應用程式安全性和 DevSecOps 功能
應用程式安全性和 DevSecOps 的目標是要將安全性保證整合至開發程序及自訂的企業營運 (LOB) 應用程式。
現代化
應用程式開發正迅速在多方面同時進行重整,包括 DevOps 團隊模型、DevOps 快速發行頻率,及透過雲端服務和 API 對應用程式進行技術組成。 來看看雲端如何改變安全性關聯和責任,以了解這些變更。
這種老舊開發模型的現代化是一種商機,同時也顯現將應用程式和開發流程的安全性現代化的必要性。 安全性與 DevOps 的融合通常稱為 DevSecOps,並驅動以下變更:
- 安全性是整合式,而非外部核准:應用程式開發的快速變化步調,讓傳統的「掃描和報告」方法變得過時。 這些舊版方法跟不上發行的速度,就會讓開發工作停滯不前,造成上市時間延遲、開發人員使用率不足,以及待辦問題的增長。
- 左移 (Shift left) 可讓安全性提早加入應用程式開發流程,因為提早修正問題更便宜、更快速,且更有效率。 如果等到蛋糕出爐,就很難改變形狀了。
- 原生整合:安全性做法必須緊密整合,以避免開發工作流程及持續整合/持續部署 (CI/CD) 流程中的狀況不良。 如需 GitHub 方法的詳細資訊,請參閱共同保護軟體安全。
- 高品質安全性:安全性必須提供高品質的結果和指導,讓開發人員能夠快速修正問題,而不會因為誤判而浪費開發人員的時間。
- 融合的文化特性:安全性、開發和營運角色應該將關鍵元素融入到共有的文化特性、共有價值,以及共有的目標和責任。
- 敏捷安全性:將安全性從「必須完美出貨」的方法轉移成敏捷的方法,從應用程式 (以及開發這些應用程式的流程) 的最低可行安全性開始,不斷逐步改善。
- 採用雲端原生基礎結構和安全性功能,以簡化開發流程,同時整合安全性。
- 供應鏈風險管理:針對開放原始碼的軟體 (OSS) 和協力廠商元件,採用零信任方法來驗證其完整性,並確保錯誤修正和更新套用至這些元件。
- 持續學習:開發人員服務 (有時稱為「平台即服務」(PaaS) 服務) 的快速發行步調,以及不斷變化的應用程式組合,表示開發人員、營運人員和安全性團隊成員將不斷學習新技術。
- 針對應用程式安全性使用程式設計方式,以確保持續改進敏捷方法。
如需其他內容,請參閱 Microsoft 安全開發生命週期。
小組構成要素和重要關聯性
應用程式安全性和 DevSecOps 功能最好由安全性感知開發人員和營運團隊 (在安全性主題專家的支援下) 來執行。
此功能通常會與其他功能和專家互動,包括:
- 安全性架構和作業
- 基礎結構安全性
- 通訊 (訓練和工具)
- 人員安全性
- 身分識別和金鑰
- 合規性/風險管理小組
- 關鍵業務領導人或其代表
後續步驟
請檢閱資料安全性的功能。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應