共计 1202 个字符,预计需要花费 4 分钟才能阅读完成。
被称为古代数字珍珠港攻打,网络勒索病毒的毁坏是把焦点放在软件开发平安。
尽管疫情较之以前有了更重大的把控,但行业复苏可能会更加艰巨,网络攻击变得越来越简单。就在上个月,据 SolarWinds 报导,一家为超过 30 万客户提供服务的软件公司——包含美国政府机构和《财产》500 强中的绝大多数公司——被黑客入侵,黑客侵入其香港服务器,将恶意代码插入其专有软件猎户座的网络监控程序。
尽管细节仍在开展,但咱们晓得修补服务器受到黑客攻击,并且被毁坏的恶意软件文件被用来感化公司的 DevOps 管道。恶意软件文件随后被发送到每个香港服务器在下一个软件降级。
多达 18,000 名客户下载了蕴含恶意代码的软件更新。尽管这个传奇故事中有很多谬误——从明码治理不善和无人监督的更新,到未能检测到入侵——但它带来了将安全性集成到软件开发生命周期中的重要性。
随着疫情期间数字技术的迅速遍及,简直每家公司都在从事软件和应用程序的构建业务。很显著,软件正在吃更多的世界,更快。随着简直每个组织的数字脚印的增长,这种流行病实际上成为网络安全威逼成倍回升的催化剂。当初,每一条数据都是网络罪犯可能的杠杆或拜访点。
这一事件揭示咱们,技术领导者须要认真钻研代码级别引入的破绽,并找到在利用程序开发生命周期的晚期引入安全性的办法。咱们分享了在 2021 年采纳流程并更快地公布平安、高质量的软件的 3 种办法。
1. 将安全性向左挪动
通过将安全性向左挪动,开发、平安和操作团队能够确保从我的项目开始时达到平安规范,而不会减慢交付速度。当软件团队在 SDLC 中推动安全性时,会测试更多的代码,简化平安审查,缩小团队之间的摩擦,并且因为疼痛点和瓶颈的辨认和解决更快,企业更有可能最终取得平安产品,并按时交付。
开发后解决任何潜在的破绽会耗费太多工夫,并成倍增加平安问题的危险,这可能会造成极其昂扬的老本,并侵害公司的名誉。
2. 放大间断反馈
反馈循环是剖析和优化软件交付过程的无力办法。工夫越短,就越能升高危险,提高质量,确保对改革做出更好的反馈。施行 OODA(察看、定向、决定、口头)循环能够创立一个间断的反馈循环,使各方对可能产生的任何安全事件负责,并在产生此类破绽时轻松补救。
3. 主动平安,包含您的数据
大多数人认为平安是导致延误和挫折的瓶颈,但为更好的平安提供了微小的机会。附带的许多实际,尤其是自动化,使公司可能将安全性整合为其流程的要害组成部分。随着更多测试的自动化,因为人为谬误而引入平安缺点的危险升高。测试效率更高,过程是统一和可预测的。
同样,从数据的角度来看,负责任的数据管理要求组织施行爱护栏,以缩小其解决敏感数据不当的机会,包含辨认和混同数据的自动化工具。在数据来到开发人员手中之前,必须进行适当的数据屏蔽,因为人类和零碎将不可避免地失败。
最初,主动监控零碎的威逼也能够是有价值的,因为它们提供实时警报,而后团队能够轻松合作,并容许受权的更新流向适合的人。