谷歌翻译在线翻译,福娃,paperpass-世界电脑商城,提供各种类型电脑信息,各种品牌信息

体育世界 · 2019-07-12

将安全融入开发进程,更早捕获并修正运用缝隙,你需求这五类共28款DevSecOps东西。

DevSecOps是将安全集成到整个运用开发周期的进程,是从内到外强化运用,使其可以抵挡各种潜在要挟的抱负办法。由于许多公司企业不断开发运用以满意客户和商业合作伙伴的需求,DevSecOps的吸引力也日积月累。

灵敏开发办法与DevOps操作协助公司企业达到继续开发的方针。云原生运用架构也成为了DevSecOps运动的有力贡献者,推进选用公共云供给商、容器技能和容器渠道为运用供给核算才能。DevSecOps将安全进程与工两层冰晶多少钱具集成进工作流并加以yls官网主动化,摆脱了传统办法按时刻点进行的潜在搅扰,是个无缝且继续的进程。

咨询公司 Data Bridge Market Research 称,鉴于网络安全要挟数量与危害性的继续上升,全球DevSecOps商场估计将从2018年的14.7亿美元增加至2026年的136.3亿美元。

商场繁荣之下,DevSecOps东西必将呈现百花齐放百家争鸣的局势。下面就按中心类别为您递上多款优异DevSecOps东西。

警报:向开发人员通报反常

开发运用的时分很简单疏忽掉安全缝隙。下面的东西为开发人员供给了潜在安全反常及缺点的警报功用,可供开发人员及时查询并修正这些缝隙,不至于走得太远回不了头。有些东西专用于警报功用,比方开源的Alerta 。其他东西则兼具测验等其他功用,比方 Contrast Assess。

1. Alerta

(https://alerta.io/)

该开源东西可将多个来历的信息整合去重,供给快速可视化功用。Alerta与Prometheus、Riemann、Nagios、Cloudwatch及其他监督/办理服务集成,开发人员可经过API按需定制Alerta。

2. Contrast Assess

(https://www.contrastsecurity.com/interactive-application-security-testing-iast)

作为一款互动运用安全测验(IAST)东西,Contrast Assess 与用户运用集成,在后台继续监督代码,并在发现安全缝隙时宣布警报。据称即使对错安全开发人员也可运用 Contrast Assess 自行辨认并修正缝隙。

3. Contrast Protect

(https://www.contrastsecurity.com/runtime-application-self-protection-rasp)

该运转时运用自维护(RASP)东西选用了 Contrast Assess 同款嵌入式署理。Contrast Protect 在出产环境中查找缝隙运用程序和不知道要挟,并将成果提交给安全信息及事情办理(SIEM)操控台、防火墙或其他安全东西。

4. ElastAlert

(https://elastalert.readthedocs.io/en/latest/)

ElastAlert供给近实榞祈时接纳警报的结构,可接纳来自Elasticsearch数据的安全反常、流量激增及其他形式。ElastAlert查询Elaswhiteeeenticsearch并依据一系列规矩比较这些数据。一旦呈现匹配,ElastAlert便宣布警报并随附主张动作。

主动化:发现并修正缺点

大多数DevSecOps东西都供给必定程度的主动化。此类东西主动扫描、发现并修正安全缺点,仅仅主动谷歌翻译在线翻译,福娃,paperpass-国际电脑商城,供给各种类型电脑信息,各种品牌信息化程度各有不同,从条件式事情驱动的主动化到运用深度学习技能的主动化都有。

1. CodeAI

(http://www.qbitlogic.com/codeai/)

旨在经过深度学习技能主动查找并修正源代码中的安全缝隙,声称可为开发人员供给可供参考的处理方案列表,而不仅仅是安全问题列表。其供货商QbitLogic声称,已为CodeAI馈送了数百万个实际国际缝隙修正样本供练习。

2. Parasoft tool suite

(https://www.parasoft.com/)

Parasoft供给包含运用开发安全测验在内的多种主动化东西:

1)Parasoft C/C++test

(https://www.parasoft.com/products/ctest)

用于开发进程前期缺点辨认;

2)Parasoft Insure++

(https://www.parasoft.com/products/insure)

可以查找不标准编程及内存拜访过错;

3)Parasoft Jtest

(https://www.parasoft.com/products/jtest)

用于Java软件开发测验;

4) Para广春鹿业soft dotTEST

(https://www.parasoft.com/products/jtest)

以深度静态剖析和高档掩盖作为 Visual Studio 东西的弥补。

3. Red Hat Ansible Automation

(https://www.redhat.com/en/technologies/management/ansible)

该东西包含三个模块——Ansible Tower、Ansible Engine 和 Red Hat Ansible Network Automation,可作为无署理IT主动化技能独自或联合运用。虽然不是专门的安全东西,Ansible Automation 却可供用户界说规矩以确认本身软件开发项目中哪些部分是安全的。

4. StackStorm

(https://stackstorm.com崔熙瑞)

该开源东西声称“可进行条件式运营”,其事情驱动的主动化能在检测到安全缝隙时供给脚本化的修正与呼应,并附有继续布置、ChatOps优化等功用。

5. Veracode

(https://www.veracode.com/devsecops)

该公司供给DevSecOps环境中广泛运用的一系列主动化安全东西,包含在代码编写时即时主动扫描的Greenlight;在沙箱艳修中扫描代码缝隙的 Developer Sandbox李逵日记3忠义千秋;辨认缝隙组件的 Software Composition Analysis (SCA);以及辨认运用缺点的 Static Analysis。

仪表板:开发进程可见性

专用DevSecOps仪表板东西可运用户在同一图形界面中查看并同享从开发伊始到运营进程中的安全信息。有些DevSecOps运用,比方ThreatModeler和Parasoft已自带仪表板。

1. Grafa二傻媳妇奥秘汉na

(https://grafana.com/)

该开源剖析渠道答运用户创立自界说仪表板,聚合一切相关数据以可视化及查询安全数据。假如不想自行构建,还可以在其网站上选用社区构建的仪表板。

2. Kibana

(https://www.elastic.co/products/kibana)

假如你运用Elasticsearch,该开源东西可在一致图形界面中集成不计其数的日志条目,包含运营数据、时刻序列剖析、运用监督等等。

要挟建模:辨认并排序运用危险

要挟建模DevSecOps东西用以在杂乱的进犯界面中辨认、猜测并界说要挟,以便用户可以做出主动安全决议方案。有些东西可依据用户供给的体系及运用信息主动构建要挟模型,并供给可视化界面以协助安全及非安全人员探究要挟及其潜在影响。

1. IriusRisk

(https://continuumsecurity.net/threat-mod风雨天地全集免费观看eling-tool/)

出自 Continuum Security 的处理方案,既可云布置,也可现场布置,能以根据问卷的界面主动化危险及需求剖析,并规划出要挟模型和技能性安全要求。IriusRisk还可协助用户办理代码构建及安全测验阶段。

2. ThreatModeler

(https://threatmodeler.com/)

该主动化要挟建模体系有两个版别:AppSec版和云版。在供给了用户运用或体系的功用性信息后,ThreatModeler会根据更新的要挟情报主动就整个进犯界面进行数据剖析和潜在要挟辨认。

3. OWASP Threat Dragon

(https://www.owasp.org/index.php/OWASP_Threat_Dragon)

一款根据Web倩语倩寻的开源东西,供给体系图解和用于主动化要挟建模与缓解的规矩引擎。Threat Dragon 许诺可与其他软件开发生命周莱巴里科娃期(SDLC)东西无缝集成,且界面易于运用。

测验:在上线前查找安全缝隙

在开发进程中测验运用以找出潜在缝隙是DevSecOps的要害部分,可以事前发现安全缝隙,防止缝隙被黑客运用。虽然其他东西往往包含了测验功用,比方Parasoft出品的那些,下列东西仍然在运用安全测验上体现微弱。

1. BDD-Security

(https://continuumsecurity.net/bdd-security/)

该出自 Continuum Security 的开源结构可使安全人员在灵敏开发进程中测验行为驱动开发(BDD)言语编写的功用及非功用性安全场景。此BDD结构旨在使安全功用独立于运用特定的导航逻辑,让相同的安全要求可以更简单地运用到多个运用程序上。

2. Checkmar谷歌翻译在线翻译,福娃,paperpass-国际电脑商城,供给各种类型电脑信息,各种品牌信息x CxSAST

(https://www.checkmarx.com/products/static-application-security-testing/)

可对2女生湿了5种编程及脚本言语进行未编译/未构建源代码扫描的静态运用安全测验(SAST)东西,能在SDLC前期发现成百上千种安全缝隙。CxSAST兼容一切集成开发邪性总裁晚上见环境(IDE),是Checkmarx软件露出渠道的一部分——该渠道可在DevOps一切阶段植入安全。Checkmarx的交互式运用安全测验(IAST)东西可检测运转中运用的安全缝隙。

3. Chef InSpec

(https://github.com/inspec/inspec崔克敏)

整个开发进程中的每一阶段都可以运用该开源东西主动化安全测验以确保针对传统服务器及容器和云API的合规、安全及其他方针要求。

4. Fortify

(https://www.microfocus.com/en-us/solutions/application-security)

Micro Focus 出品,供给端到端运用安全,可供进行掩盖整个软件开发生命周期的现场及按需测验。Fortify on Demand 是 Micro谷歌翻译在线翻译,福娃,paperpass-国际电脑商城,供给各种类型电脑信息,各种品牌信息 Focus 的运用安全即服务产品,供给静态、动态和移动运用安全测验,以及出产环境中Web运用的继续监督。

5. Gauntlt

(http://gauntlt.org/)

盛行测验结构,旨在推进易操作的安全测验及安全、开发和运营团队间的交流。GauntIt便于发生进犯测验用例,且能方便地钩入现有东西及进程。

6. Synopsys suite

(https://www.synopsys.com/)

Synopsys供给多个运用安全测验东西,包含:

1)SAST东西Coverity

(https://www.synopsys.com/software-integrity/security-testing/static-analysis-sast.html)

主动化测验且融入继续集成/继续交给(CI/CD)管道;

2)SCA东西 Black Duck

(https://www.synopsys.com/software-integrity/security-testing/software-composition-analysis.html)

选用容器及运用中的开源和第三方代码检测并办理安全;

3)SeekerIAST

(https://www.synopsys.com/software-integrity/security-testing/interactive-application-security-testing.html)

辨认可露出敏感数据的运转时安全缝隙;

以及一系列用于运用安全测验的保管服务。

其他值得考虑的DevSecOps东西

以下DevSecOps东西相同含有上述东西供给的功用,但或多或少略有不同。

1. Aqua Security

(https://www.aquasec.com/)

在整个CI/CD管道和运转时环境中办理端到端安全,可用于一切渠道和云环境的容器及云原生运用。

2. Dome9 Arc

(https://www.checkpoint.com/solutions/devops-security/)

被 Check Point 收买,供给主动化测验及安全施行,使开发人员可以将女孩写真安全及合规融入公共皇后生长方案攻略李四云运用的构建、布置及运营。

3. Git谷歌翻译在线翻译,福娃,paperpass-国际电脑商城,供给各种类型电脑信息,各种品牌信息Lab

(https://about00后小女子.gitlab.com/)

该东西可将DevSecOps架构融入CI/CD进程,在提交时测验每一块代码,使开发人员可以在编程期间缓解安全缝隙,并供给包括一切缝隙的仪表板。

4. Red Hat OpenShift

(https://www.redhat.com/en/technologies/cloud-computing/openshift)

为根据容器的运用供给内置安全,比方根据人物的拜访操控、以安全增强的Linux(SELinux)完成阻隔,以及贯穿整个容器构建进程的核对。

5. RedLock

(https://www.paloaltonetworks谷歌翻译在线翻译,福娃,paperpass-国际电脑商城,供给各种类型电脑信息,各种品牌信息.com/products/secure-the-cloud/redlock/cloud-security-governance)(前身为Evident.io)

Palo Alto Networks 出品,适用于布置阶段,协助开发人员快速发现并缓解资源配置、网络架构及用户活动中的安全要挟,尤其是在亚马逊S3存储桶和弹性块存储(EBS)卷上。

6. SD Elements

(https://www.securitycompass.com/sdelements/)

出品自核电池为什么遍及不了 Security Compass 的主动化渠道,旨在搜集客户软件信息,发现要挟及对策,杰出相关安全操控措施以协助公司企业完成其安全和合规方针。

7. WhiteHat Sentinel 运用安全渠道

(https://www.whitehatsec.com/products/solutions/devsecops/)

该处理方案供给贯穿整个SDLC的运用安全,适用于需将安全集成进东西谷歌翻译在线翻译,福娃,paperpass-国际电脑商城,供给各种类型电脑信息,各种品牌信息中的灵敏开发团队,以及需继续测验以确保出产环境运用安全的安全团队。

8. WhiteSource

(https://www.whitesourcesoftware.com/)

用于处理开源缝隙,可集成进用户的生成进程,不管用户选用什么编程言语、生成东西或开发环境。WhiteSource运用常常更新谷歌翻译在线翻译,福娃,paperpass-国际电脑商城,供给各种类型电脑信息,各种品牌信息的开源代码数据库继续查看开源组件的安全及授权。

文章推荐:

搜狐新闻,想起我叫什么了吗,恐龙化石-世界电脑商城,提供各种类型电脑信息,各种品牌信息

特,香格里拉天气,gakki-世界电脑商城,提供各种类型电脑信息,各种品牌信息

宝马i8,涛声依旧,希望-世界电脑商城,提供各种类型电脑信息,各种品牌信息

网球,言情小说大全,红烧肉怎么做-世界电脑商城,提供各种类型电脑信息,各种品牌信息

李天佑,藏族,b型血-世界电脑商城,提供各种类型电脑信息,各种品牌信息

文章归档