但是,如果安全集成到数字基础设施的发展吗?输入:DevSecOps。
DevSecOps(一种安全文化相结合的方法dev发展,证券交易委员会urity,人事处eration年代成一个单一的学科)及其强调安全性测试和评估旨在解决安全问题,传统上可能不被发现,直到软件向公众推出。它补充了推动安全软件开发生命周期(SSDLC)像Equinix的在许多组织中,这使开发人员能够有更多他们的应用程序的所有权,抓安全问题前,和更低的成本在降低。这样可以减少对感染的易感性的内部网络,最终交付产品。
“转移”——这个概念代表安全的参与应该如何发生的早在这个过程中,早在设计阶段——在利益相关者之间建立信任是有益的。它也可以是符合行业标准的一个关键因素如国家标准与技术研究院(NIST)。[2]
开发人员和软件:是什么
今天企业——无论是在商业信息服务、零售、或制造,操作数字提供者在某种程度上,形状或形式,需要业务开发与数字领先策略。基础设施准备开发人员主导和软件定义,使组织能够有效地部署IT基础设施在推进DevOps实现。的2023年全球互连指数(GXI)还提供了洞察软件定义基础设施作为适应技术进步的主要推动力,经济不确定性和安全隐患,组织将面临未来数年。
有人认为安全是一个阻碍创新和应用开发,但是《纽约时报》,他们是《”——这是不可否认的,不断变化的景观要求安全的而不是马后炮。
开发人员实际责任确保他们构建和维护的软件,因此对它负责。然而,安全团队还负责提供指导开发人员在保护他们的软件”。
组织并不是唯一能“左移位。景观”的威胁,网络罪犯效仿通过针对开发者和构建系统作为攻击反对infrastructure-as-code入口点(IaC)部署,Kubernetes环境,和供应链。
所以,谁负责安全?终端用户的现实是,能做的只有这么多内置的安全措施应用程序/产品。这使开发人员实际责任确保他们构建和维护的软件,因此对它负责。然而,安全团队还负责提供指导开发人员在保护他们的软件。
应该嵌入在文化,开发人员认为自己是安全解决方案的一部分,更加照顾到他们的编码实践。这种文化转变应该意味着培养一个环境,让他们做到这一点。这都归结到团队协作;毕竟,我们都只是想安全、可靠的产品。
安全软件开发生命周期(SSDLC) Equinix的
Equinix的持续的共同努力将安全离开,我们开车增加开发人员之间的协作,操作,和安全团队通过一个叫做NEXTcode的程序,这是一个全公司范围的安全合并到软件开发生命周期的每个阶段和基础设施,使必要的安全工具扫描和修复,以及提供安全编码培训、支持和指导,如果他们需要它。
DevOps的安全
NEXTcode开发人员安全认证项目旨在培训并使开发人员能够使用安全编码实践以及建立一个持续的教育和实践训练平台,以支持我们的开发者社区的需要。这个项目的第一阶段集中在OWASP前十名,它提供了一个深入了解今天的web应用程序所面临的最关键的安全风险,其次是安全编码和代码库的最佳实践。
此外,我们的全球网络安全意识程序允许开发者利用可用的资源和培训来解决安全编码的概念和实践,包括代码评审/扫描和夺旗(CTF)游戏。
我们认为培训是必要的安全学科在应用程序开发中,坚持标准,和练习安全等基本面:
- 理解共同责任模型
- 采用最小特权原则
- 拥有的知识解决代码发现如果他们发生
- 对开源的代码理解开发人员的责任
我们继续在创新的进步和保护我们的基础设施,以确保我们给我们的客户最可靠和可伸缩的服务,包括装备开发人员和安全团队中的关键人物构建软件和安全定义产品。这个转向SSDLC很重要在支持平台Equinix的和与企业客户合作安全驾驶他们的数字基础设施项目。
了解更多关于数字基础设施future-ready平台Equinix的愿景纸(PEVP)。
我们将讨论更多的组织如何防止安全风险和安全的数字基础设施的攻击在我们的博客零信任安全、零接触安全。
感谢亚历克斯·阿姆斯特朗提供急需的见解Equinix的开发人员安全认证程序。
[1]TechTarget的。”SolarWinds黑客解释说:你需要知道的一切”。2022年6月。
[2]国家标准与技术研究所的,”信息安全测试和评估技术指南”。2008年9月。
订阅Equinix的博客