关于应用安全,或者这一类型产品安全,第一眼想到的是DevSecOps。
Why?现在强调的是“安全前置”。在万物互联的大背景下,一切围绕着数据和业务,但更需要安全软件。据Gartner报告80%的攻击发生在应用层,安全前置可治本。
那么如何前置?涉及应用的生命周期。从开发、测试到运维,每个周期内都需要安全保证,而不是都堆给安全渗透人员。开发前安全设计与威胁分析,开发后代码安全合规检测,测试时应用应用安全扫描系统识别风险,维护环节采用全生命周期漏洞管理与态势感知系统。
DevSecOps就是这么一个协作框架,使用自动化检测技术将安全融入到开发到运维的各环节。
随着各种新技术如容器、微服务的推出,DevSecOps还需有适应新技术的能力,这样才可满足云上应用、工业互联网等新技术架构的安全需求。
除此,单独针对应用的各种检测与加固也是保障方式之一,例如漏洞、病毒扫描;静态扫描结合用户模拟;代码审计;根据业务的定制化渗透测试和应用安全加固与混淆等。
参考