彩票走势图

信息安全组成DevOps关键部分

原创|行业资讯|编辑:龚雪|2014-06-24 09:29:59.000|阅读 128 次

概述:DevOps整合信息技术,其信息安全将是关键部分。反之,DevOps也能定位信息安全风险。

# 慧都年终大促·界面/图表报表/文档/IDE等千款热门软控件火热促销中 >>

DevOps是一组过程、方法与系统的统称,用于促进开发(应用程序/软件工程)、技术运营和质量保障(QA)部门之间的沟通、协作与整合。

为何说信息安全组成了DevOps的关键部分之一?

DevOps在确保开发人员与运维人员能一起工作并且更有效率方面非常成功。通过 DevOps,运维团队可以获得他们所需要用于了解如何建立有效和可靠应用程序构建、打包和部署过程方面的信息。而信息安全组也同样有许多与运维团队一样的需求。此外,InfoSec 还需要获得他们需要用于确保整个系统是安全和可靠方面的信息。正如DevOps帮助开发和运维团队能更有效地一起工作一样,DevOps 也可以帮助开发和信息安全团队更有效地一起工作。在DevOps中,持续部署已经成为DevOps 的一个关键实践,并且关注于通过自动化的构建、打包和部署来自动化部署流水线。通过提供一个平台可以在开发生命周期里尽早访问和定位安全问题,信息安全团队也同样能够从部署流水线上得到显著的获益。只要一旦有风险评估被介入,有效的安全保障就应当永远与之同步进行。

需要强调的是,DevOps可以帮助定位安全风险。作为软件或系统开发工作的一部分,风险需要被理解和定位。安全保障不能仅仅在开发过程的末尾才加入进来。系统需要在开发生命周期的最开始,就将安全保障与设计和开发一道同时得到关注。

  • DevOps提供了必需的构造来帮助定位众多安全风险,这是创建任何复杂技术系统的内在要求。
  • 安全漏洞往往是各种事件的直接后果。例如,在 C/C++ 系统中进行不恰当的编码实践就可能导致缓冲溢出条件有机会被恶意攻击者用于实施越级程序权限。缓冲溢出攻击经常被攻击者所利用,来获得系统的控制权,甚至可以很有效地获得 root 权限。
  • 运行时事件的发生也可能导致不恰当的安全控制,例如发生在不同组件之间的身份验证与授权。一个常见的安全问题根源就是来自于由于某次部署所应用的不正确的访问权限。
  • 另外一个安全问题领域是确保所部署的是正确的代码。在部署过程中所带来的错误有可能会暴露给恶意攻击者。
  • 在不同接口之间的配置问题经常会曝露给攻击者,以被其用于尝试侵入系统。一旦系统缺乏防范措施,不恰当的安全控制问题就有可能导致非授权的变更变得非常难以识别,而且难于执行鉴定证明来查清到底有哪些变更是由于错误或是由于恶意目的所造成的。

不难理解,通过有效的源代码管理来构建安全的系统,软件质量从基础中得到控制。慧都提供网络安全技术资源,或许能助DevOps开发一臂之力。

通信安全工具:

IP*Works! Internet Toolkit v9.0

IP*Works! EDI/AS2 v9.0

IP*Works! S/MIME v9.0      IP*Works! SSH      IP*Works! SSL

代码混淆工具:

.NET Reactor v4.9     Dotfuscator     DashO Pro v7.3

Zend Guard


标签:网络安全数据安全

本站文章除注明转载外,均为本站原创或翻译。欢迎任何形式的转载,但请务必注明出处、不得修改原文相关链接,如果存在内容上的异议请邮件反馈至chenjj@pclwef.cn


为你推荐

  • 推荐视频
  • 推荐活动
  • 推荐产品
  • 推荐文章
  • 慧都慧问
相关产品
IP*Works! Internet Toolkit

最优化的网络通讯组件包,包含电子邮件、网络管理、文件传送、telnet、 HTTP等功能

IPWorks SSL

为桌面或网络应用程序加入安全连接功能

IPWorks S/MIME

为邮件、文件、新闻组文章提供S/MIME安全的组件

IPWorks Zip

为桌面和网上应用程序添加压缩和解压功能的组件套包。

EDI Integrator

用于收发基于AS2的Internet电子数据交换(EDI-INT)信息,实现Internet上EDI交易的安全传输。

扫码咨询


添加微信 立即咨询

电话咨询

客服热线
023-68661681

TOP