为什么需要安全服务平台?
极客时间编辑部
讲述:丁婵大小:7.70M时长:05:37
你好,欢迎收听极客视点。
安全开发生命周期能够确保应用程序具备充足的安全性,而自动化是推行它的一个重要手段。不少企业的安全团队已经在这方面进行了很多努力,但也面临着新的挑战。比如重复建设、实施质量良莠不齐、信息分散、没有形成闭环等等。最近,ThoughtWorks 高级安全咨询师马伟提出,安全服务平台是这个困境的破局者,他在公众号“ThoughtWorks 洞见(ID:TW-Insights)”解释了其中的原因。
安全服务平台的定义
安全服务平台,核心是对多种安全工具、服务进行统一封装,并通过 API 或 UI 交互,以及融入交付基础设施等途径,向开发团队提供便捷易用的安全服务集合。这些通过安全服务平台而提供出来的安全服务集合,贯穿了软件开发的完整生命周期,从需求分析和技术设计,一直到上线运营及运维。与此同时,安全服务平台也服务于安全团队,向其提供一系列安全管理服务。
为什么需要安全服务平台
之所以说安全服务平台是目前推行安全开发生命周期困境的破局者,是因为它所创造出来的独特的价值。
1. 提供开箱即用的安全服务,把使用门槛降至最低。
开发团队有一个隐藏的要求:不管做什么安全活动,以及怎么做这些安全活动,实施成本必须足够低,低到开发团队认为这不会影响交付速度,不会导致 lead time 的增加。
把安全活动自动化是一个很好的开始,但这仍然需要开发团队做一些搭建或者配置工作。安全服务平台秉承了自动化的理念,并且把其发挥到了极致,通过技术手段直接帮开发团队搭建、配置好安全工具,如此一来造就了开箱即用的服务,对开发团队而言使用成本直接降到了 0,使用这个安全服务的意愿和动力一下就充足了起来。
2. 减少甚至避免了重复建设
一个开发团队搭建一套安全扫描系统,N 个开发团队就会搭建 N 套安全扫描系统,尽管可以通过自动化脚本来加速这个过程,但从资源的使用角度来看,始终存在重复建设的问题。
安全服务平台对安全工具进行了封装,统一对开发团队提供服务,这使得开发团队无需再自己搭建一套安全扫描系统,避免了系统的重复建设。
3. 是安全信息集散中心,且形成信息闭环
安全服务平台提供了多种安全服务,并且把这些服务的运行结果统一汇集起来,让开发团队能够更加方便地在一个地方查阅到自己所构建的应用程序的安全性。
更进一步,安全服务平台还能把各项安全服务的运行结果反馈回持续交付流水线,这使得开发团队能够在第一时间知晓安全活动的结果,并及时做出处理。这样的做法能够帮助开发团队形成安全信息闭环,构建出一个正向良性的反馈环路。
4. 提供多维度的信息可视化,便于安全团队追踪管理、推动安全开发生命周期中各项活动的开展
尽管安全开发生命周期提倡赋能开发团队,让开发团队以自驱动的方式去开展各项安全活动,但这些安全活动到底有没有开展?开展的效果怎么样?这些信息在以前只能靠安全审计,或者安全团队主动去追问才能得知,而且得到的答案可能也比较模糊。
而安全服务平台由于记录下了各个开发团队、各项安全活动的详细运行数据,通过可视化等手段能够向安全团队提供更加精准的数据反馈,使得安全团队能够获得数据支撑,以便于持续改进优化安全开发生命周期的推行计划。
5. 集中管理,易于维护
安全服务平台统一封装了各种安全工具或者第三方安全服务,因此对这些工具或服务做维护也变得更加容易操作。比如,某个安全工具需要进行版本升级,原先只能以发送通知的方式告诉开发团队尽快完成升级,但开发团队是否及时响应就不能很好地控制了,而且如果某些开发团队并没有使用这款安全工具,那么这样的通知对他们而言也是信息噪音。
现如今,只需安全团队将安全服务平台所封装的这个工具进行升级,那么所有通过平台使用这款工具的开发团队无需做任何操作,便能直接享受升级后的功能。同理,对于安全扫描规则的更新也是类似的过程,将变得更加易于维护。
以上就是安全服务平台的独特价值,这能很好地应对那些推行安全开发生命周期的新挑战,比如重复建设、实施质量良莠不齐、信息分散、没有形成闭环等等。希望今天的内容对你有所帮助。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
该免费文章来自《极客视点》,如需阅读全部文章,
请先领取课程
请先领取课程
免费领取
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
精选留言
由作者筛选后的优质留言将会公开显示,欢迎踊跃留言。
收起评论