cdn防护_有盾牌的游戏_想法-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > DDOS防御 > cdn防护_有盾牌的游戏_想法

cdn防护_有盾牌的游戏_想法

小墨安全管家 2021-05-03 16:10 DDOS防御 89 ℃
DDoS防御

cdn防护_有盾牌的游戏_想法

"价值流图"—这是一种用于物流和供应链流程的精益想法,对吗?这和软件安全有啥关系?好咨询题!在80年代,CC防御,价值流图被应用于日本创造业的物流和供应链过程。创造想法论的成功导致了更广泛的采纳,包括精益软件开辟的采纳,其中创建和交付软件的过程被映射为材料(工件)和信息流的价值流。那个概念是最近我在参加一具对于应用程序安全ROI的网络研讨会时提出的。我的共同演示者SANS分析师jimbird建议使用价值流分析来确定并减少安全性对工程过程的阻碍。在他随附的报告中,他写道:"我们不仅需要从风险和直截了当成本的角度来审视我们的安全决策,还需要思量它们对工程价值链的阻碍,以及怎么将这些阻碍落至最低。",当在开辟过程中举行安全测试时,从减少阻碍的角度来看是一具重要的思量因素——在完整的代码中解决安全咨询题比在仍然编码时解决它们要苦恼得多。Bird使用了另一具软件组合分析与威胁建模的例子。团队能够特别容易地将自动化软件组合分析添加到构建中,而不必更改团队的工作方式。总成本是适度的:工具的前期许可证和集成到构建中。从这一点上讲,关于每个构建,反馈基本上即时和直截了当的:工具显示了在哪里发觉了漏洞以及它们有多严峻,几乎没有误报。更进一步:利用价值流最大化AppSec投资我爱慕如此的方法:在思量AppSec的整体想法时,将这种想法再向前推进一步,并从价值流的角度思量咨询题。我们能够应用价值流来了解您的AppSec工具和流程将怎么阻碍您的开辟工作流,以及您能够在何处以及怎么优化您的AppSec投资。作为Veracode的工程副总裁,我需要在自个儿的工程团队中优化我的AppSec投资。不断承受着更快、更廉价、更好交付的压力,我需要使AppSec尽大概无缝,并且尽大概落低最大的风险。为此,我从公司的安全策略开始,它定义了我们公司的风险承受能力。在Veracode,我们的风险承受能力很低;安全是我们业务的核心,我们代表客户处理敏感数据。我们的安全政策规定:推举的库、框架、嵌入式组件:这是使开辟人员的阻力最小的路径成为安全路径的关键。软件许可使用标准易受攻击代码和组件的修复要求对OSS存储库的受控访咨询从那将来,我会思量到在应用程序安全性方面的每一具软件价值流的投资。我想确保我的投资与每个价值流的特定复杂性、数据存储需求和其他差异化因素相匹配。例如,我们的一些软件价值流使用不同的软件想法(敏捷、Scrum、DevOps)、不同的工具(Eclipse、JIRA、Jenkins等)、不同的技术和模式(微服务、嵌入式组件等)以及处理不同类型的数据(不同的敏感度)。例如:我们的静态分析产品是我们的软件开辟价值流之一。流经该流的数据很敏感,需要AppSec在数据加密和爱护方面投入大量资金。相比之下,我们的电子学习产品,CC防御,DDoS防御,另一具价值流,DDoS高防,治理经过web界面呈现的不太敏感的数据。eLearning价值流需要较少的面向数据的安全投资,要紧涉及检查web界面中的漏洞。第三个软件流,我们的产品veracodestaticanalysisidescan(用于安全单元测试)使用了一具全新的延续部署管道。将安全性与此价值流相协调需要将安全性与交付管道举行深度自动化集成。最后来,它归结为支持业务和将安全投资映射到业务优先级。从价值流的角度思量应用程序安全性是创建这种一致性并应用正确的安全技术和想法以最大限度地提高投资回报率的一种想法。正在举行的过程需要注意的是,这不是一具一劳永逸的项目。我从不以为我们在应用程序安全方面的投资是"完整的"。总有产品、技术和流程的变化,而这些变化又需要我们对AppSec的投资举行调整和优化。再次引用SANS的报告:"魔力在于在主动操纵、反应敏捷性、对组织面临的风险的容忍度以及挑选正确的工具和实践之间找到适当的平衡点,以使应用程序安全而不大概减慢开辟速度。"了解更多信息在AppSecwebinar和report bundle的SAN ROI中猎取有关使用价值流映射优化应用程序安全性投资的更多详细信息。


DDoS防御

当前位置:主页 > DDOS防御 > cdn防护_有盾牌的游戏_想法

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119