2012年,Gartner在一份报告中提出DevSecOps的概念,在这份报告中,Gartner提出信息安全专业人士需要更主动融入DevSecOps的实践中,秉承DevSecOps的精神,拥抱“团队协作、敏捷和职责共担的哲学”。基于Gartner的调研,估计少于20%的企业安全架构师参与到Devops的项目中,主动和系统性的将信息安全融入DecOps的项目,更少的组织达到了DevSecOps所需的安全自动化程度。Gartner认为通过采用一种良好实践,安全架构师可以设计一系列可集成的控制措施,优化安全活动,同时并不损害Devops的敏捷和协作精神。安全也从守门人的角色演变到赋能各团队。
但在实际的软件开发中,安全的落实实施也遇到了种种的挑战。
1. 开发运维人员缺少安全技能、意识。
2. 安全专业人员很有限;
3. 第一道方向安全往往在运维的基础机构类职能下,地位不高,很难对等的协同;
4. 开发、运维的堡垒,安全职能难以嵌入到IT生命周期的各个阶段;
5. 开发交付团队,甚至管理层过度强调速度,在速度的平衡中,对安全风险的机会主义风险偏好过大。
6. 漏洞多在上线前一刻被发现,而不是持续在开发的管道,plpeline中被识别-修复成本过高;
7. 安全工具自动化不足或集成程度不高。
8. 大量第三方漏洞,易攻击,排查困难:往往安全漏洞出现在外部,如第三方依赖,中间件,基础操作系统等等,而该类漏洞一经出现,最易攻击;
总的来说,主要是三点:
1. 运维、研发人员,安全意识薄弱,安全技术能力参差不齐,导致在安全测试环节,无法关注漏洞情况;
2. 普遍认为,安全是阻挡开发进度正常上线,导致在后期修复漏洞成本极高;
3. 第三方组件的安全漏洞多,易攻击,难排查。
灵脉AI自动化渗透测试系统解决方案
将安全前置开发,测试环节,保证系统在上线之前,从源头上消除已知的易受攻击组件的使用,将安全操作规范变为自动化脚本执行,对所有的代码和组件进行严格的版本管理,确保系统上线前,消灭掉90%以上的漏洞。
灵脉AI自动化渗透测试系统采用AI自适应安全扫描引擎,全方位支持开发生态链安全,同时支持云到端的应用威胁扫描场景,无论是移动APP的自动化风险评估还是网站后台应用自动化威胁扫描都支持,此外,灵脉还支持交互式多重应用威胁扫描方式,除了支持传统漏洞扫描技术涉及到的主动嗅探扫描外,还创造性发明了基于应用业务流深度学习的AI启发扫描技术,即同时支持主动嗅探和AI启发两种漏洞扫描方式,可以帮助非安全人员快速完成系统的漏洞挖掘,有效解决传统黑客扫描方式中爬虫功能的局限性问题,还可以深度发现新业务系统中存在的各种业务逻辑漏洞,如水平越权、登录接口爆破、批量注册等业务逻辑漏洞。
灵脉产品免费试用地址:https://xcheck.xmirror.cn/
悬镜安全:悬镜AI(北京安普诺信息技术有限公司)由北京大学白帽黑客团队”Xmirror”主导创立。公司力求以人工智能技术赋能信息安全,在公司研发的产品中,深度结合机器学习、红蓝对抗、攻击链模型等技术,为企事业单位提供前沿高效的DevSecOps全流程AI安全管家服务。
来源:freebuf.com 2019-07-23 17:28:37 by: 悬镜安全实验室
请登录后发表评论
注册