從RSAC2020熱點DevSecOps,看自動化安全漏洞掃描
發(fā)布時間:2020-02-29
作者:上海工業(yè)控制安全創(chuàng)新科技有限公司
點擊次數(shù):次
作為網(wǎng)絡(luò)安全行業(yè)風(fēng)向標的RSAC大會于美國時間2月24日至28日在舊金山如期召開。
基于參會人的關(guān)注熱度��,RSAC發(fā)布《RSAC 2020趨勢報告》��,其中DevSecOps相關(guān)內(nèi)容再次成為大家關(guān)注的焦點之一���。在RSAC2020創(chuàng)新沙盒大賽上���,十家初創(chuàng)公司中有半數(shù)企業(yè)聚焦應(yīng)用安全,可以見得DevSecOps落地已成為大趨勢����。
DevSecOps的優(yōu)勢在于它能夠縮短實現(xiàn)更高標準的自動化時間長度,減少因決策失誤帶來的風(fēng)險和一般情況下操作錯誤導(dǎo)致系統(tǒng)宕機或遭受不同程度攻擊等問題��;更為重要的是��,DevSecOps強調(diào)不能僅關(guān)注運行時的安全解決方案���,需要讓開發(fā)����、測試等各個環(huán)節(jié)貫穿整個安全全生命周期�,從而構(gòu)建安全、高效���、合規(guī)的全生命周期安全保障體系�。
發(fā)現(xiàn)漏洞,DevSecOps的重要環(huán)節(jié)
在實施DevSecOps的過程中���,發(fā)現(xiàn)漏洞,避免安全隱患是博弈的關(guān)鍵�����。通過加強內(nèi)部安全測試�,主動搜尋安全漏洞,及時修復(fù)漏洞�����、控制風(fēng)險��,從而實現(xiàn)與業(yè)務(wù)流程的良好整合�����。
上??匕沧灾餮邪l(fā)國內(nèi)首款同時支持源代碼與二進制文件的漏洞掃描工具,協(xié)助用戶/企業(yè)對應(yīng)用程序中所使用的第三方組件提供詳細的分析與見解��,使用戶能夠更主動的去管理這些,因使用第三方組件所帶來的安全與合規(guī)風(fēng)險�。是有效實現(xiàn)DevSecOps關(guān)鍵里程碑的重要一環(huán)。
需求與痛點
開源組件以及漏洞的日益增加
開源組件許可證受限問題
過度依賴人工排查����,漏洞修改繁瑣
方案價值
源代碼與二進制文件的漏洞掃描工具——SmartRocket Scanner可自動化提供漏洞掃描和修復(fù)建議。
將安全技術(shù)前置在開發(fā)���、測試階段����,貫穿于軟件開發(fā)的整個生命周期����,一直是上海控安研發(fā)布局的核心理念�����。前置安全可大大提升應(yīng)用本身的安全性,在最早階段����、以最低成本解決最大比例的安全風(fēng)險,可實現(xiàn)“安全即代碼�����、治標亦治本”的安全目標���。
