您当前的位置:首页 > 电脑百科 > 网络技术 > 网络安全

敏捷开发中确保网络安全的十条原则

时间:2023-09-19 14:14:44  来源:企业网D1Net  作者:

当今竞争激烈的商业环境要求企业快速行动并保持创新。因此,80%或更多的企业采用了敏捷开发方法。不幸的是,这种更高的开发速度为网络犯罪分子带来了几个利用的机会,特别是在软件生命周期过程不安全的情况下。

那么,企业如何使敏捷开发实践更具安全性呢?以下是信息安全论坛推荐的10条原则:

定义角色和职责

负责指导敏捷项目的高级领导必须明确定义安全活动的角色和责任,这包括建立正式和非正式的报告渠道,以及项目管理行动,如上报协议、强制性会议和向安保团队报告项目状态。这将有助于将安全嵌入到灵活的应用程序开发中,同时促进承诺、责任以及业务IT和安全代表之间的建设性关系。

投资于技能和培训

安全是一项团队职责,每个开发人员都需要在确保代码没有安全漏洞方面发挥自己的作用。开发人员通常缺乏对安全问题的知识和理解,他们倾向于将软件交付置于安全问题之上。为了增强开发人员的能力,企业必须在指导和提高技能方面投入资源,这包括安全培训和认知课程、高级开发人员的指导、专门的敏捷安全培训活动,以及访问免费可用的资源,如OWASP、CWE、BSIMM(构建成熟模型中的安全)、SAFECode和CERT。

应用信息风险管理流程

从一开始就确保安全措施成本更低,效率更高,而不是事后事项。领导层必须建立有助于在整个开发生命周期中管理信息风险的流程。

这包括从安全角度商定高级别应用程序架构、确定“安全关键”应用程序和功能的列表、执行业务影响评估、在早期阶段进行信息风险和脆弱性评估,以及报告新确定的风险的流程。领导层应该就谁拥有信息风险提供指导,定义审查风险的流程,并确定如何做出风险管理决策。

使用开发人员的格式指定安全要求

使用开发人员的格式(用户故事、软件需求规范、故事映射、线框、角色和用例)来阐明安全需求,以便开发人员能够更好地理解、定义和实现安全规范。

这使得安全需求可以被视为产品待办事项中的功能需求,并将其转换为任务(也称为分解),将它们合并到需求管理工具中,并将它们包括在项目的生产力度量中。

进行威胁建模

定期进行威胁建模练习,以了解应用程序的安全环境,发现设计中不安全的方面,识别、分析威胁并确定威胁的优先顺序,发现用于攻击应用程序的最常见技术和方法(欺骗、篡改、拒绝服务、权限提升),确定哪些威胁需要额外的安全测试,最重要的是,制定策略和解决方案以主动缓解每个威胁。

采用安全编程技术

要求开发人员利用已建立的安全编程技术,例如重构、持续改进/持续开发(CI/CD)、同行评审、安全迭代和测试驱动开发。

这改进了应用程序代码的非功能质量,并有助于消除允许利用安全漏洞的编程缺陷。安全编程技术还有助于指导在安全方法方面缺乏经验的开发人员,使用AI或低代码/无代码等新技术,开发复杂应用程序的一个方面,集成第三方应用程序,或满足合规性要求。

执行独立的安全审查

让独立的审查者执行静态代码分析(审阅源代码,以分析应用程序代码中的错误、错误和漏洞)和动态分析(检查执行期间的应用程序行为,以确定异常或意外行为)。这为利益相关者提供了应用程序满足安全要求且不包含任何安全漏洞的保证。

自动执行安全测试

对于安全团队来说,手动测试和评估每个敏捷迭代通常是不可行的,这就是有必要采用某种类型的自动化来持续检查应用程序代码的安全性以发现缺陷和漏洞的原因,确保安全相关任务一致且有条不紊地完成,分析安全事件,并减轻安全团队和开发人员的负担。然而,一切都不可能是自动化的,自动化也不能完全取代人工测试,例如,一个人需要手动检查以确定逻辑缺陷。

在验收标准中包括安全性

创建、沟通和维护一套标准的安全验收标准,以确认已经执行了对应用程序代码的独立审查,已经完成了安全测试,合并到应用程序中的代码部分是可维护的、可跟踪的,并且来自经过验证的、信誉良好的来源,已经成功地满足了迭代积压的要求,已经解决了所有缺陷,包括安全漏洞,并且已经识别和批准了任何可能影响安全性的设计变更。

这有助于减少技术债务,向利益相关者提供保证,并在应用程序代码交付之前验证安全验收标准已完全满足。

评估安全性能

敏捷项目通常包括有限的安全性能评估,这使得企业很难确定其应用程序的安全性是否符合业务要求。因此,企业必须根据一组商定的KPI来监控和评估适当的安全指标。

安全指标可以包括安全漏洞的类型、数量和严重程度、独立测试的结果、已批准和未批准的安全策略偏差的数量、未违反安全措施的时间长度以及其他缺陷消除指标。

如果你的开发是敏捷的,那么信息安全就必须效仿,这就是建议所有企业遵循上述安全原则和最佳做法的原因。安全的成功取决于各方(开发人员、项目经理、执行团队等)之间的协作和承诺程度。如果安全流程可以像编码一样进行快速迭代和改进,那么只有这样才能在当地提供更好的应用程序安全性和有效的更改。



Tags:网络安全   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
数据可视化在网络安全中的关键作用
在当今数字化时代,网络安全已成为各大企业乃至国家安全的重要组成部分。随着网络攻击的日益复杂和隐蔽,传统的网络安全防护措施已难以满足需求,急需新型的解决方案以增强网络防...【详细内容】
2024-03-29  Search: 网络安全  点击:(19)  评论:(0)  加入收藏
AI时代的网络安全:探索AI生成的网络攻击
译者 | 晶颜审校 | 重楼长期以来,网络攻击一直是劳动密集型的,需要经过精心策划并投入大量的人工研究。然而,随着人工智能技术的出现,威胁行为者已经成功利用它们的能力,以非凡的...【详细内容】
2024-03-27  Search: 网络安全  点击:(14)  评论:(0)  加入收藏
网络安全--域名过滤功能详解
路由器的域名过滤功能是一种网络安全机制,允许管理员控制局域网内的设备对互联网上特定域名(即网站)的访问。这一功能主要用于家长控制、企业网络管理或者其它需要限制网络使用...【详细内容】
2024-03-26  Search: 网络安全  点击:(5)  评论:(0)  加入收藏
如何使用免费网络安全工具Canary Tokens查明黑客何时访问了您的文件?
译者 | 布加迪审校 | 重楼担心您的个人文件被黑客窃取吗?Canary Tokens是一款免费且易于使用的工具,可以快速部署。如果黑客打开您的文件,它就会通知您。什么是Canary Tokens?Ca...【详细内容】
2024-03-26  Search: 网络安全  点击:(13)  评论:(0)  加入收藏
Sora来袭AI换脸门槛降低 网络安全公司何以应对新风险?
    本报记者 丁蓉    近期,中国香港警方披露了一起AI(人工智能)“多人换脸”诈骗案,涉案金额高达2亿港元。一家跨国公司香港分部的职...【详细内容】
2024-02-29  Search: 网络安全  点击:(38)  评论:(0)  加入收藏
注意网络安全!广州市消委会教您选购智能摄像头
近年来,智能家居技术和产业快速发展,智能摄像头不仅能实现录像功能,还能实现移动追踪侦测、自动巡检、人形侦测等功能,为人们提供了多种安防需求。为向消费者提供真实可用的商品...【详细内容】
2024-02-28  Search: 网络安全  点击:(36)  评论:(0)  加入收藏
深入解析Sysmon日志:增强网络安全与威胁应对的关键一环
在不断演进的网络安全领域中,保持对威胁的及时了解至关重要。Sysmon日志在这方面发挥了至关重要的作用,通过提供有价值的见解,使组织能够加强其安全姿态。Windows在企业环境中...【详细内容】
2024-01-16  Search: 网络安全  点击:(38)  评论:(0)  加入收藏
网络安全员怎么考?有什么要求?行业前景如何?
网络安全员是一种专门从事网络安全防护和管理的专业人员。他们的主要职责是保护网络系统免受各种威胁和攻击,确保网络的稳定运行和数据的安全。网络安全员需要对网络系统进行...【详细内容】
2024-01-16  Search: 网络安全  点击:(76)  评论:(0)  加入收藏
网络安全工程师需要考CISSP证书吗?
网络安全工程师是否需要考取CISSP证书,这主要取决于个人职业规划和市场需求。首先,CISSP证书是国际上公认的网络安全认证之一,拥有CISSP证书可以证明持有者在网络安全领域具备...【详细内容】
2024-01-15  Search: 网络安全  点击:(46)  评论:(0)  加入收藏
2024年需要高度关注的六大网络安全威胁
译者 | 晶颜审校 | 重楼创新技术(如生成式人工智能、无代码应用程序、自动化和物联网)的兴起和迅速采用,极大地改变了每个行业的全球网络安全和合规格局。网络犯罪分子正在转向...【详细内容】
2024-01-03  Search: 网络安全  点击:(107)  评论:(0)  加入收藏
▌简易百科推荐
数据可视化在网络安全中的关键作用
在当今数字化时代,网络安全已成为各大企业乃至国家安全的重要组成部分。随着网络攻击的日益复杂和隐蔽,传统的网络安全防护措施已难以满足需求,急需新型的解决方案以增强网络防...【详细内容】
2024-03-29  小嵩鼠    Tags:数据可视化   点击:(19)  评论:(0)  加入收藏
AI时代的网络安全:探索AI生成的网络攻击
译者 | 晶颜审校 | 重楼长期以来,网络攻击一直是劳动密集型的,需要经过精心策划并投入大量的人工研究。然而,随着人工智能技术的出现,威胁行为者已经成功利用它们的能力,以非凡的...【详细内容】
2024-03-27    51CTO  Tags:网络安全   点击:(14)  评论:(0)  加入收藏
详解渗透测试和漏洞扫描的开源自动化解决方案
译者 | 刘涛审校 | 重楼目录 什么是渗透测试 规划和侦察 扫描 开发和获得访问权限 维持访问权 报告和控制 什么是漏洞扫描 渗透测试工具 渗透测试的自动化 渗透自动化工作流...【详细内容】
2024-02-27    51CTO  Tags:渗透测试   点击:(25)  评论:(0)  加入收藏
如何保护你的电脑不受黑客攻击
在数字时代,网络安全已经成为每个人必须关注的重要问题。黑客攻击、数据泄露和网络犯罪等事件频频发生,使得我们的个人隐私和财产安全面临严重威胁。那么,如何保护你的电脑不受...【详细内容】
2024-02-04  佳慧慧    Tags:黑客攻击   点击:(49)  评论:(0)  加入收藏
2024年需要高度关注的六大网络安全威胁
译者 | 晶颜审校 | 重楼创新技术(如生成式人工智能、无代码应用程序、自动化和物联网)的兴起和迅速采用,极大地改变了每个行业的全球网络安全和合规格局。网络犯罪分子正在转向...【详细内容】
2024-01-03    51CTO  Tags:网络安全威胁   点击:(107)  评论:(0)  加入收藏
终端设备通信网络安全防护方案
终端设备的网络安全是一个综合性问题,需要用户、组织和厂商共同努力,采取一系列的措施来保护终端设备的安全。终端设备网络安全防护方案主要包括以下几个方面:1. 强化用户身份...【详细内容】
2024-01-01  若水叁仟    Tags:网络安全   点击:(52)  评论:(0)  加入收藏
深入解析802.1X认证:网络安全的守护者
802.1X认证,对于很多人来说,可能只是一个陌生的技术名词。然而,在网络安全的领域中,它却扮演着守护者的角色。今天,我们就来深入解析802.1X认证,看看它是如何保护我们的网络安全的...【详细内容】
2023-12-31  韦希喜    Tags:网络安全   点击:(65)  评论:(0)  加入收藏
提升网络安全:ADSelfService Plus多重身份验证的关键
在当今数字化的时代,网络安全问题愈发突出,企业和组织面临着日益严峻的挑战。为了应对不断进化的网络威胁,越来越多的组织开始采用多层次的安全措施,其中多重身份验证成为了关键...【详细内容】
2023-12-27  运维有小邓    Tags:网络安全   点击:(87)  评论:(0)  加入收藏
企业如何应对网络钓鱼攻击的激增?
随着我们进入数字时代,网络犯罪的威胁继续以惊人的速度增长。在最流行的网络犯罪形式中,网络钓鱼仅在过去一年就出现了472%的攻击激增。企业在保护自己及其客户免受网络钓鱼诈...【详细内容】
2023-12-19    千家网  Tags:钓鱼攻击   点击:(80)  评论:(0)  加入收藏
十四部门开展网络安全技术应用试点示范工作 面向13个重点方向
央广网北京12月18日消息 据工业和信息化部网站消息,工业和信息化部等十四部门印发通知,开展网络安全技术应用试点示范工作,试点示范内容面向13个重点方向。通知指出,适应数字产...【详细内容】
2023-12-18    央广网  Tags:网络安全   点击:(56)  评论:(0)  加入收藏
站内最新
站内热门
站内头条