Top
首頁 > 正文

新思科技楊國梁:CI/CD加快軟件開發進度既不是軟件安全原因更不是安全單一解決方案

新思科技在最新發布的軟件安全構建成熟度模型BSIMM10中指出,DevOps對軟件安全的影響:BSIMM數據顯示DevOps的發展以及持續集成和持續交付(CI/CD)工具正在影響公司實現軟件安全性的方式。
發布時間:2019-11-01 17:54        來源:賽迪網        作者:徐培炎

【賽迪網訊】提及軟件安全,其實它并不只是一組安全功能,更不應該是在軟件開發完之后再迭代上去的一些功能,而應該是設計在軟件本身里面。所以在軟件開發之初就應該考慮到如何兼顧軟件安全的功能性和非功能性。對此,新思科技做過整個缺陷和漏洞的占比分析,結果是各占50%。

所謂缺陷和漏洞,漏洞就是指在編碼的過程中,由于人為的能力有限或者疏忽,產生的一些coding層面的一些bug; 而缺陷指的是在設計的階段,業務邏輯就沒設計好,或者說選用了一些不安全的中間件、不安全的組件,導致開發之初就有問題。所以,漏洞和缺陷占比為50%。新思科技希望,開發者在做軟件開發時,能夠把安全性放到和質量、性能等等特質一樣的位置上。

當面臨到,DevOps CI/CD加快軟件開發進度和軟件發布進度的趨勢之時,很多開發者會認為這是導致出現安全問題的一些原因。但是新思科技軟件質量與安全部門高級安全架構師楊國梁接受采訪時表示:CI/CD加快軟件開發進度既不是軟件不安全的原因,同時更不應該是安全的單一的解決方案。”

321

新思科技在最新發布的軟件安全構建成熟度模型BSIMM10中指出,DevOps對軟件安全的影響:BSIMM數據顯示DevOps的發展以及持續集成和持續交付(CI/CD)工具正在影響公司實現軟件安全性的方式。這在BSIMM新增的三個活動中可以看出,新的活動反映了公司如何積極致力使安全活動自動化,來配合將業務功能推向市場的速度。BSIMM10也包括更新的描述和現有活動的示例,以反映這些活動如何作為現代DevOps組織實施的一部分。

據悉,BSIMM10代表的公司來自垂直行業,包括金融服務、高科技、獨立軟件供應商(ISVs),云、醫療保健、物聯網、保險及零售業。BSIMM模型旨在幫助企業規劃、執行、完善和評估其軟件安全計劃(SSIs)。在過去的十年里,新思科技采用BSIMM對185家公司進行了約450次評估,而最新發布的第十個版本BSIMM10,反應了觀察到的122家公司的軟件安全活動,并且描述了7,900名軟件安全專家的工作成果,這些成果對參與超過17.3萬應用程序開發工作的47萬名開發人員有指導作用。

合作站點
stat
新时时豹子号统计