Эксперты назвали основные критерии для реализации практик DevSecOps

безопасность разработка DevSecOps DevOps
Эксперты назвали основные критерии для реализации практик DevSecOps
безопасность разработка DevSecOps DevOps

Организации, внедряющие безопасность в жизненный цикл ПО, демонстрируют лучшие результаты в обеспечении ИБ.

Эксперты рабочей группы по вопросам DevSecOps некоммерческой организации Cloud Security Alliance (CSA) определила шесть категорий, играющих критическую роль в DevSecOps.

DevSecOps – важное направление в DevOps (наборе практик, нацеленных на взаимодействие разработчиков ПО с экспертами по безопасности), подразумевающее обеспечение безопасности на всех этапах разработки приложений. Как показывает практика, организации, внедряющие безопасность в жизненный цикл ПО, демонстрируют лучшие результаты в обеспечении ИБ. Для того чтобы стимулировать внедрение DevSecOps, CSA выделила шесть категорий, на которые следует обратить внимание.

Коллективная ответственность: Каждый сотрудник организации несет ответственность за кибербезопасность и осознает собственный вклад в ее обеспечение. Пользователи и разработчики не только «осведомлены о безопасности», но и являются первой линией защиты.

Сотрудничество и интеграция: Культура сотрудничества и осведомленности в вопросах ИБ играет важную роль в обнаружении потенциальных аномалий командами специалистов.

Прагматичная реализация: Использование независимой от шаблонов модели цифровой безопасности и конфиденциальности, ориентированной на разработку приложений, позволит организациям прагматично подходить к безопасности в DevOps.

Обеспечение соответствия стандартам и разработки: Ключом к заполнению пробелов между соответствием стандартам и разработкой является преобразование средств управления в соответствующие критерии ПО, а также определение переломных моментов в жизненном цикле ПО, где эти средства управления могут быть автоматизированы и измерены.

Автоматизация: Качество ПО может быть улучшено за счет более тщательного, своевременного и регулярного тестирования. Поддающиеся автоматизации процессы нужно автоматизировать, а от неподдающихся следует отказаться.

Измерение, мониторинг, протоколирование и действие: Для успеха DevSecOps разработка ПО и его работа после установки на системах должны непрерывно контролироваться уполномоченными лицами в отведенное для этого время.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.

Новости по теме

Полиция задержала группу хакеров, обвиняемых в краже данных у ведущей IT-компании

Интегрируем threat intelligence в систему защиты информации с новой версией PT Threat Analyzer

БеКон 2024 – конференция по безопасности контейнерных сред

Минцифры РФ анонсировало создание консорциума по кибербезопасности ИИ

Конец мукам пересертификации: ФСТЭК идет навстречу ИТ-компаниям

Правительство США в ловушке: зависимость от Microsoft парализует нацбезопасность страны

Открыта дверь в будущее: первая успешная передача квантовой информации

Новый уровень безопасности: камера стреляет краской и слезоточивым газом

ИИ в разработке: почему IT-директорам не стоит надеяться на чудо?