历史上的今天
今天是:2024年09月10日(星期二)
2019年09月10日 | 技术文章—软件合规性团队应借鉴DevSecOps实践
2019-09-10 来源:EEWORLD
尽管软件测试对于合规性至关重要,但当测试工具无法跟上现代软件开发的速度时,开发人员也会感到沮丧。本文将为您解析如何在不影响软件开发速度的情况下进行有效的软件合规性测试。
许多人认为应用安全仅仅应该是安全团队的责任。然而,虽然安全专家可以对此做出贡献,开发人员通常是唯一具备修复软件安全漏洞的技术能力的人。软件合规性也是如此。归根结底,只有开发人员才能构建符合特定软件标准的应用程序。
考虑到开发团队的紧迫期限,给他们额外的职责可能会带来挑战。为了帮助开发人员在不降低速度的情况下交付安全的应用程序,许多团队采用了DevSecOps,鼓励将自动安全测试集成到每个版本的DevOps工作流程中。
DevSecOps帮助团队更快地交付更安全的软件,但是否是更加符合合规性的软件呢?许多尝试实现软件合规性的团队遇到了与试图实现软件安全性的团队相似的挑战。幸运的是,他们可以采用相似的策略。
DevSecOps的作用是什么?
DevOps工作流程支持快速迭代的软件发布周期,这给软件安全带来了一定障碍。
在保护软件安全的传统方法中,测试是在应用程序构建之后,软件开发生命周期结束之后才进行的。结果,大多数(如果不是全部的话)应用程序同时测试,并且将一长串、令人生畏的安全问题清单发回给开发人员。
然而,许多团队发现这种方法与DevOps不兼容。开发团队没有时间,更不用说预算,来停止他们正在做的事情去处理一大堆表格中的问题。
为了解决这个问题,企业可以通过将安全测试集成到DevOps发布周期更短的、更高频率的反馈循环中,以实现DevSecOps。DevSecOps要求在早期经常执行自动安全测试,而不是在开发人员完成构建应用程序之后运行大型的测试。通过帮助开发人员编入更安全的代码,DevSecOps有助于减少质量保证(QA)必须识别以及发回来的问题数量。
如果开发团队可以将安全测试集成到DevOps工作流程中,为什么不将合规性测试也集成到DevOps工作流程中呢?
如何将DevSecOps实践应用到软件合规性中?
虽然安全测试通常与合规性测试要求不一样的分析方法,但是尝试DevSecOps的开发团队可以使用类似的方法来进行合规性测试。
正如传统的应用安全测试一样,合规性测试通常发生在QA环境中。大致的应用开发和测试流程如下所示:
1. 开发人员编写应用程序的代码
2. QA在开发人员转移到另一个项目时测试代码
3. QA向开发人员发送一份违反合规性的列表,要求他们暂停当前的工作,先解决这些问题
这种合规性测试策略在技术上并没有什么问题。然而,这种方法并不受开发人员欢迎,如果问题列表特别长,对于开发团队来说可谓代价高昂。为了在应用程序完成之前解决更多的合规性问题,团队可以实施受DevSecOps启发的实践,来帮助开发人员在软件开发生命周期(SDLC)早期提交合规性代码。
策略之一是将自动合规性测试集成到DevOps发布周期中。通过定期测试而不是一次性测试应用程序,团队可以减少每个测试周期违规的数量。显然它需要在整个SDLC中进行更高频率的测试,事实证明这种方法比在QA中找到问题更快。
另一种方法是在集成开发环境(IDE)中创建沙箱环境,开发人员可以自己在其中运行测试。在编写代码时测试他们自己写的代码,使开发人员能够编入更清晰、更合规的代码,
因此违规就不太可能出现在QA中或者更糟出现在生产中。这种方法另一个好处是帮助开发人员熟悉可能导致违规行为的代码。
这些识别和解决违规问题的策略并不意味着要取代QA测试。然而,通过将合规性测试集成到SDLC的多个阶段,团队将在QA和开发的反馈循环中看到更少的问题,这将会更好地支持DevOps工作流程。
在现实中又是怎样的情况呢?
就像安全测试一样,将合规性测试集成到DevOps发布周期需要新的技术和工作流程,它们都有不同的学习曲线。
关于技术,静态分析正成为帮助开发团队构建合规应用程序的流行的选择方式。静态分析工具之间的覆盖范围各不相同,但是总体而言,该技术可以在代码质量标准中发现问题,比如MISRA 和CERT C/C++,以及安全标准,比如OWASP Top 10和 PCI DSS。
团队选择的用来解决合规性问题的静态分析工具或者其他的任何技术在他们采用的工作流程中发挥着重要作用。如前所述,那些希望将问题排除在QA之外的人希望找到解决方案从而能够:
1. 将快速反馈循环集成到测试和开发中
2. 在开发人员编写代码时在IDE中扫描代码
在测试和开发之间构建一个持续的反馈循环可能代表了开发人员日常工作的重大转变。
虽然“DevSecOps”并不完全相同,但是受管制行业的开发团队可以通过将合规性测试集成到DevOps发布周期中来获得降低成本的益处。
史海拾趣
|
网站上的算法大都是查512字节表的,对单片机来讲,太浪费空间了。 根据老古网上资料,修改并测试通过以下算法: unsigned int crc_ta[16]={ 0x0000,0x1021,0x2042,0x3063,0x4084,0x50a5,0x60c6,0x70e7, 0x8108,0x9129,0xa14a,0x ...… 查看全部问答> |
|
数字信号处理(DSP)是一门涉及许多学科而又广泛应用于许多领域的新兴学科。20世纪60年代以来,随着计算机技术和信息技术的飞速发展,数字信号处理技术应运而生,并得到迅速的发展。在过去的二十多年里,DSP已经在通信等领域得到极为广泛的应用,特别是在 ...… 查看全部问答> |
|
想用电容降压电路将220V交流转成12V,用单片机通过光耦控制双向晶闸管的导通,在PROTEUS测试时,发现这个光耦控制晶闸管电路存在问题,仿真时报图2所示错误,试着将R28电阻去掉,也还是报错,不知该如何解决?请知道的大侠们不吝赐教!谢谢! 图1 ...… 查看全部问答> |
|
看datasheet上只有512K的flash和32K的ram,首先512k的flash完全用来下载程序的吧?还可以分配空间存其他数据么?32K的ram存一张图片都有问题。 我的课题是从外界针孔相机传进来的数据存储起来,然后发送到PC机,呵呵,怎么觉得有点不能实现,正在 ...… 查看全部问答> |
|
各位大侠,尤其是版主,我乃新手,现在想用Timer的输入捕获模式解码红外遥控信号,不知道如何下手啊,望点拨!在线等 MCU:F101 Timer:TIM4 CHANNEL:ch4… 查看全部问答> |