• 小老鼠
    2020-03-03
    1,SDL适用于敏捷和DevOps,若适用有什么不同之外,若不适用,那在敏捷和DevOps下又有什么框架(据我学习,DevOps包括开发、测试、运维、安全的统一)2,我是一个从事二十年的测试人员,您认为安全测试应该由测试人员来作好还是安全人员来作,当然包括测试分析、设计、准备、执行及报告各个测试阶段。

    作者回复: 1、我觉得SDL更多的强调了安全在开发中的重要性,因此稍加调整,是可以适用于敏捷和DevOps的。比如,现在提的比较多的是SecDevOps,就是尝试在DevOps中加入和强调安全。 2、安全和测试都是服务于开发,仅从安全测试这一工作来看,我觉得是可以由测试来统一完成的。只是安全还需要去做其他的企业防御类的工作。

    
    4
  • 瑞泉
    2020-02-16
    老师,持续集成工具,比如jenkins集成openvas漏扫工具是否可行,自动测试软件漏洞

    作者回复: 理论上是可行的。主要的问题在于扫描会产生误报,因此很难要求说,扫描出漏洞就不允许发布。这就是矛盾点了,如果不强制要求,大部分开发可能会选择忽略报警。如果由安全人员对漏洞进行人审的话,又失去了自动化的意义。

    共 2 条评论
    4
  • Parko
    2020-04-04
    从原来注重开发管理的SDLC,到打通开发与运维隔阂的DevOps,在发展到DevSecOps,把代码安全扫描也加入到整个自动化发布过程中

    作者回复: 循序渐进,小步快跑,还是比较符合互联网公司的发展模式的~

    
    1
  • leslie
    2020-02-13
    学习了:这块确实可以去研究一下;看来这块确实是我最后一块真正的弱点。去年的运维大会刚好有提及,然后发现确实这也是属于运维的一方面,一点点学习一点点补漏。
    
    1
  • 小晏子
    2020-02-12
    SDL开发测试过程中可以集成一些插件漏洞检测工具,看看引入的第三方插件是否有已知的安全漏洞,比如之前文中提到的dependecy-check工具检查cve漏洞,最好是将这个工具集成到devops pipeline中,这样可以做到自动化的定期检查预警
    
    1
  • COOK
    2020-03-29
    SDL要落地挺难的,特别是在大家都觉得安全很重要,却又不肯在安全上多投入的时候
    
    