因此,您的团队正在采用另一个合规性框架。也许有人在做主,或者您甚至自己负责领导这项工作(不是那么有趣)。尽管乍一看似乎很诱人,但如今您根本无法超越合规性。能否真正实现合规性取决于您,这取决于软件开发工作的敏捷性和乐趣。
那么如何去做呢?
自我教育 福州APP开发
首先,首先要对合规性和网络安全性进行自我教育。尽管没有人期望开发人员会成为该主题的专家,但对术语和含义的基本理解可能会大大帮助您发表意见。
除了网络安全和软件开发以外,合规性还存在于许多领域,但归根结底是同一件事-治理。为了达到合规性,组织必须能够证明已按照规定的一组准则执行流程并做出了决定,以减轻某些风险。
自远古以来,软件开发安全性原则一直保持不变-“ CIA Triad”:
-
机密性:保护数据免遭未经授权的访问和滥用。
-
完整性:保护数据免遭未经授权的修改,防止在系统内启动未经授权的操作。
-
可用性:为授权用户保护及时和不间断的数据和流程访问。
显然,网络安全远不止于此,值得进一步了解基本风险和保护措施。根据您的喜好,有无穷的资源,包括书籍,博客,视频,在线课程,甚至动手培训(请参阅Secure Code Warrior)。
左移
当时间到了,合规性开始对软件开发生命周期(SDLC)提出新要求时,请务必了解它们。作为软件开发人员,您应该承担不良的安全性和合规性惯例,就像您承担不良的代码和产品一样。
您要做的最后一件事是让可用于生产环境的应用程序通过测试的黑盒,这些测试可能会或可能不会针对生产进行清除。相反,您应该构建软件开发过程以根除任何潜在的风险或问题。
为了最大化应用程序质量,我们采用了大量测试策略和自动化工具。为了确保代码质量,我们执行计划会议,部署linters并利用代码审查。为了确保安全性和合规性,请部署工具,例如软件组成分析(SCA),静态和动态应用程序测试(SAST / DAST)。
保持可理解性
随着您逐渐变得合规,某些环境将变得遥不可及。许多系统(例如为生产流量提供服务或处理和存储实际数据的系统)将受到限制。越来越少的人将有访问权限,甚至对该访问权限也将进行更严格的控制。
这不可避免地意味着您将需要花费更多的时间和精力来确保您拥有了解这些远程环境中正在发生的事情所需的数据。确保您拥有高质量的日志记录,指标和就地跟踪肯定会有所帮助。而且由于您永远无法获得完全正确的监视,因此,拥有一个可用的远程调试工具将确保您可以眨眼之间就能填补任何盲点。
概要
作为开发人员,我们很多人觉得处理安全性和合规性问题不是特别有趣或有趣。但是,事实是,随着开发人员的力量和影响力不断增长,他们的责任也随之设定。DevSecOps不再只是流行语。越来越多的我们不仅要承担软件的可靠性和性能,还要兼顾其合规性和安全性。保持好奇心并尽可能多地阅读,拥抱左移,并投资能够立即访问数据的工具。
