- 综合排序
- 最热优先
- 最新优先
- 来自专栏从运维安全到DevSecOps
DevSecOps:S-SDLC企业最佳实践
TOP 2 S-SDLC要与企业的质量管理体系相结合 不少企业实施S-SDLC时,将S-SDLC作为一个独立的流程来操作。 在S-SDLC落地的过程中,将安全工程活动标准化,并纳入产品的质量体系,是保障S-SDLC实施效果的基础。 TOP 4 用度量体系将S-SDLC实施效果可视化 对于企业的研发高层领导来说,最关注的还是S-SDLC实施效果。如何让S-SDLC实施效果可视化,是S-SDLC实施过程中需要注意的重要问题。 如果研发高层领导看不到S-SDLC的实施效果,那就意味着可能失去研发高层领导对S-SDLC实施的持续支持和资源投入,从而导致S-SDLC实施失败。 S-SDLC实施的效果本身就是隐性的。 因此,作为S-SDLC实施人员,需要在实施S-SDLC前给研发部门高层领导一个相对合理的预期:世界上没有100%的安全,不能保证S-SDLC实施后就不会再有漏洞了;也不是实施了S-SDLC后安全就可以高枕无忧了
1.2K20编辑于 2022-06-21 - 来自专栏FreeBuf
从SDLC到DevOps下的广义应用安全管控体系
这种状态下,重人力运营的SDLC逐渐成为整个开发流程中的短板,对于动辄数千个应用的组织来说,也只能挑选重要的业务系统执行SDLC,大量内网应用无人力覆盖,而且在新时期对更频繁、快捷、可靠以及智能的要求下 SDLC模式 SDLC是定义在安全团队及研发团队共同配合下的安全活动,在对需求做完安全评审以后,除了最终需要安全团队执行的安全测试外其余都需要研发团队独立完成。 ? 当然,SDLC的推行需要领导的大力支持。 整体的建设思路可类比为现代化交通治理的逻辑,将应用的构建、测试到发布线比作一条高速公路:将安全介入执行的SDLC比作载客大巴,安全是司机;将开发团队独自执行SDLC比作自驾;应用安全的执行要求是交通法规 SDLC执行检查(质量、规范),通过检测的版本迭代漏洞溯源SDLC执行过程质量。 ? 通过splunk自动化分析SDLC执行规范、制定违规通报。
2.3K20发布于 2020-09-04 - 来自专栏Bypass
【应用安全】S-SDLC安全开发生命周期
0x01 S-SDLC简介 OWASP Secure Software Development Lifecycle Project(S-SDLC)是OWASP组织首个由OWASP中国团队独立发布并主导的研究项目 S-SDLC被越来越多的企业所重视,纷纷开始实施。 S-SDLC是安全软件开发生命周期,是一套完整的,面向Web和APP开发厂商的安全工程方法。帮助软件企业降低安全问些,提升软件安全质量。 S-SDLC的理念来源于微软SDL,最终目标是帮助用户减少安全问题,并使用该方法从每个阶段提高总体安全级别。 SecZone S-SDLC解决方案V2.0全景图: ? [2]【交易技术前沿】S-SDLC在证券公司中的探索和实践 https://mp.weixin.qq.com/s/CzZmM4nAVGREczfBqRc69Q [3] SecZone S-SDLC
3.7K20发布于 2019-07-08 - 来自专栏Python数据结构与算法
【软件测试】探索和学习SDLC与软件测试的关系
(软件测试介绍)Introduction to Software testing Software Development Life Cycle (SDLC) 软件开发生命周期 Stages of SDLC (SDLC的阶段): Planning (规划): Decide what to build and how. (测试在SDLC中的角色)The Role of Testing in SDLC Integration: Testing is part of every stage in modern SDLC models (整合:在现代SDLC模型的每个阶段,测试都是一个组成部分。)
32210编辑于 2024-03-14 - 来自专栏云云众生s
从承包商到OAuth:2025年新兴的SDLC威胁
承包商流水线、OAuth 网络钓鱼和团队管理不善正成为 SDLC 漏洞的关键切入点。 随着每一个新的开发者工具、导入的操作系统包或服务帐户的出现,软件开发生命周期 (SDLC) 的攻击面也在扩大。 我预计 SDLC 将成为攻击者的首选攻击面,使攻击者能够在应用程序到达其公开可用环境之前渗透到应用程序中。 SDLC 安全的未来将由针对开发每个阶段的多层威胁来定义。 针对 SDLC 的攻击的演变 攻击者不值得任何赞扬;如果说有什么不同的话,那就是他们具有创新性。他们积极地寻找模式和弱点以获得影响力和金钱。 策略 2:利用 OAuth 网络钓鱼 关于 SDLC,攻击者可能会增加 OAuth 网络钓鱼 尝试针对开发者,诱骗他们授权访问敏感代码库。
25210编辑于 2024-11-25 - 来自专栏测试之路
8 种基本软件开发模型:选择哪一种?
这些模型也称为软件开发生命周期(SDLC)模型/方法。每个过程模型都遵循其类型所独有的一系列阶段,以确保软件开发步骤中的成功。 如今,已经有 50 多种公认的 SDLC 模型。 该模型包含其他 SDLC 模型的步骤-需求收集,设计,实施和测试,但要经过多次构建。开发团队可以利用先前构建中取得的成就来改善下一构建。 迭代和增量 SDLC 模型可能看起来像一组微型瀑布模型或微型 V 形模型。 4.螺旋模型 螺旋 SDLC 模型是原型方法和瀑布方法的结合。螺旋模型被认为是最灵活的 SDLC 方法之一。 Big Bang SDLC 模型的主要思想是将所有可用资源分配给产品本身的开发,主要是在编码方面,而不用担心满足计划。这是仅用于一两个软件工程师的小型项目的 SDLC 方法之一。 哪种SDLC方法适合你? 这些SDLC方法中的每一种都为你在职业生涯中会遇到的各种项目挑战提供了独特的流程。 要知道,没有一种方法是完美的,找到合适的一种或多种模型,去尝试,解决我们当下的问题就好。
17.9K01发布于 2020-10-20 - 来自专栏landv
烽火2640路由器命令行手册-12-IBM网络配置命令
3.1.1 sdlc address 命令描述 sdlc address sdlc-address 配置SDLC从站的SDLC地址。 int s1/1 sdlc t1 30 3.1.6 sdlc sdlc-largest-frame 命令描述 sdlc sdlc-largest-frame sdlc-address length int s1/1 sdlc sdlc-largest-frame 1200 3.1.7 sdlc partner 命令描述 sdlc partner mac-address sdlc-address 用户需要为封装了SDLC 协议的接口配置角色,配置SDLC 角色时应根据与本路由器相连的SDLC设备的角色决定。 int s1/1 sdlc vmac 4000.0099.9900 3.1.14 sdlc xid 命令描述 sdlc xid sdlc-address xid-number 配置SDLC从站的
1.1K20发布于 2018-12-17 - 来自专栏安全乐观主义
SDL已死,应用安全路在何方?
前言 应用安全仍是重点投入领域 SDLC遇到的问题 安全并不是安全团队可以独立解决的事情 加强设计和部署阶段的投入是大势所趋 SDLC适合软件开发,云和devops定义了新时代 看看哪个是SDLC完全可以胜任投入的领域? SDLC适合软件开发,云和devops定义了新时代 数字化,移动性,云和物联网(IoT)都加剧了互联网企业IT环境的复杂性,安全成了安全团队的孤军奋战,SDLC或者倾向于敏捷的SDLC来不及适应企业开发模式 SDLC没有实现让业务承担责任 在SDLC中,最差的体验是增加多个安全审核步骤,最后产品开发上线步骤繁琐而忐忑不可知。这些案例首当其冲的是各家公司引以为豪的:上线前安全扫描。 真实的安全开发生命周期 微软修正后的敏捷SDLC流程,看重专家的能力,最终实施起来势必是挑战重重,无疾而终。请读者们抛弃SDLC之类的框架图。 ? 虽然说从群众中来,到群众中去。
1.6K30发布于 2020-03-19 - 来自专栏低代码开发平台
主流的软件开发模型有哪些?低代码如何优化开发流程?
一、SDLC是什么?SDLC是软件开发生命周期(Software Development Life Cycle)的简称,是软件持续开发和维护的流程,用于规划、创建、测试和维护软件产品。 二、低代码平台对优化SDLC有什么帮助? 这有助于早期获取用户反馈,并在SDLC的早期阶段就进行必要的调整,促进迭代和优化。 3、自动化工作流和任务管理自动化工作流和任务管理功能可以帮助优化SDLC中的项目管理和协调工作,如自动分配任务、发送提醒、追踪进度,从而减少人为错误和提高效率。 7、安全性和合规性低代码平台内置了安全措施和合规性工具,确保开发过程中的数据安全,符合行业标准和法规要求,这对于保障整个SDLC的安全性和合规性至关重要。
59510编辑于 2024-06-14 - 来自专栏ThoughtWorks
是时候构建安全服务平台了
自动化是解决S-SDLC落地难的重要途径之一,但这件事本身也存在挑战 为提高软件的安全性,在企业中实施安全软件开发生命周期(下文简称S-SDLC)是必然的选择。 自动化为企业推动S-SDLC提供了有力支持,可以很大程度上降低S-SDLC中各项安全活动的实施难度,从而使得开发团队愿意主动的落地执行这些安全活动。典型的例子就是自动化源码安全扫描。 还有的安全团队使劲猛推S-SDLC,结果推得开发团队绕着安全团队走,唯避之而不急。 (4)提供多维度的信息可视化,便于安全团队追踪管理、推动S-SDLC中各项活动的开展 尽管S-SDLC提倡赋能开发团队,让开发团队以自驱动的方式去开展各项安全活动,但这些安全活动到底有没有开展? 小结 S-SDLC,也即安全开发生命周期能够确保应用程序具备充足的安全性,而自动化是推行S-SDLC的一个重要手段。不少企业的安全团队已经在这方面进行了很多努力,但也面临着新的挑战。
80520发布于 2020-05-09 - 来自专栏Python数据结构与算法
【软件测试】探索和学习在模型中的软件测试
Testing in SDLC (在SDLC中测试) Throughout SDLC: Testing should begin as early as the Requirements Gathering (贯穿SDLC:测试应该从需求收集阶段开始,一直持续到软件部署。) SDLC(螺旋) 模型中最灵活的螺旋模型类似于迭代模型,它强调重复。螺旋模型一遍又一遍地经历规划、设计、构建和测试阶段,并在每次通过时逐步改进。
70210编辑于 2024-03-24 - 来自专栏云云众生s
如何使用安全即代码实现DevSecOps
了解什么是安全即代码以及 SaC 如何帮助实现 DevSecOps 并向左移,以确保在 SDLC 的每个阶段都解决安全问题。 SaC 是一种方法,它将自动安全检查、测试和控制集成到整个软件开发生命周期 (SDLC) 中。目标是在不影响开发时间或造成瓶颈的情况下识别和缓解应用程序安全威胁。 漏洞扫描在每个 SDLC 阶段自动检测软件代码中的漏洞和弱点。 安全测试和验证识别代码中可能影响软件和数据机密性、完整性和可用性的缺陷。 使组织能够在 SDLC 的早期发现漏洞,从而降低成本。 通过在生产之前识别和修复问题,改善发布后的维护。 提供一个安全审计跟踪,以便将来分析。 确定在不同 SDLC 阶段可能出现的安全问题。 收集应用程序用户故事,以从最终用户角度识别功能需求。 评估和选择促进 SaC 项目的工具。 通过自动化工具确保符合所需的标准和法规。
32110编辑于 2024-10-11 - 来自专栏Opensource翻译专栏
DevSecOps管道和工具:需要了解的内容[DevOps]
在基于devops的软件开发生命周期(SDLC)系统中,这并不是一件非常乏味的事情,但是确实会消耗时间并影响交付进度。 如果从SDLC一开始就集成了安全性,那么可能已经跟踪到了这个小故障并在运行中消除了它。但是在上面的场景中,将安全性推到开发管道的末尾,会导致更长的开发生命周期。 要使用DevSecOps,需要: 从SDLC开始引入安全的概念,以最小化软件代码中的漏洞。 确保每个人(包括开发人员和IT运营团队)都在他们的任务中承担遵循安全实践的责任。 理解DevSecOps管道 在一个典型的DevOps管道中有不同的阶段;典型的SDLC流程包括计划、代码、构建、测试、发布和部署等阶段。在DevSecOps中,每个阶段都应用特定的安全检查。 DevSecOps工具 工具可用于SDLC的每个阶段。有些是商业产品,但大多数是开源的。在下一篇文章中,将更多地讨论在管道的不同阶段使用的工具。
1.4K21发布于 2019-12-03 - 来自专栏大数据杂货铺
Cloudera 的开放湖仓采用dbt Core增压
这就是为什么对跨数据团队、业务功能和引擎的数据转换管道具有一致的软件开发生命周期 (SDLC) 体验的中央、透明、版本控制存储库的需求日益增长。 简化 SDLC 已被证明可以加快数据项目的交付并提高透明度和可审计性,从而建立一个更受信任的数据驱动型组织。 Cloudera 为开放数据湖仓中的所有引擎构建 dbt 适配器 dbt 为数据转换管道提供了这种一致的 SDLC 体验,并因此在大大小小的公司中得到广泛采用。 公司现在可以使用 dbt-core 将他们跨不同引擎的所有转换管道整合到一个版本控制的存储库中,并在团队之间使用一致的 SDLC。 CDP Open Lakehouse 上的 dbt 端到端 SDLC 如何在 CDP 中开始使用 dbt Cloudera 的创新加速器为您带来 dbt 与 CDP 的集成,这是一个跨职能团队,可识别新的行业趋势并创建新产品和合作伙伴关系
83410编辑于 2022-12-02 - 来自专栏绿盟科技研究通讯
RSA创新沙盒盘点 | Cycode——软件供应链安全完整解决方案
图1 CEO:Lior Levy Cycode提供一套完整的软件供应链安全解决方案,可保护软件开发生命周期(Software Development Life Cycle, SDLC)各个阶段的可见性 Cycode通过了解用户通常如何与 SDLC中的工具交互来识别内部威胁,该产品会自动检查系统中的高风险偏差来进行预警,例如从未知位置克隆代码或在短时间内克隆过多的存储库。 通过识别环境中的可疑和异常活动,Cycode有助于在SDLC中的内部威胁到达违规点之前发现它们。相关功能产品截图见图5。 Cycode产品可以在SDLC的每个阶段协同工作,这大大降低了代码篡改风险。防代码篡改功能包含以下两个具体措施,分别是:验证SDLC代码完整性和监控关键代码。 验证SDLC代码完整性:Cycode知识图谱可以验证SDLC中输入输出是否匹配,例如提交的代码库与构建系统中的对应文件是否匹配,这种方式是防止代码篡改的一种有效手段。相关功能产品截图见图6。
97360编辑于 2022-06-06 - 来自专栏网络安全攻防
【应用安全】软件开发生命周期
基本介绍 软件开发生命周期(Software Development Life Cycle,SDLC)由一系列步骤或阶段组成,它为系统设计人员和开发人员提供了一系列可遵循的活动,SDLC旨在根据客户的要求通过在预定的时间框架和成本估算内交付经过每个明确定义的阶段性系统 它涉及整体产品设计以及数据结构和数据库设计,软件设计使用许多不同的策略,我们关心与我们合作的每个产品的图形界面,这就是为什么QArea被评为DesignRush上的顶级软件开发公司 程序设计 程序设计是SDLC 当客户收到产品时建议他们首先进行beta测试,在beta测试中客户可以要求软件中没有但在需求文档或任何其他GUI更改中提及的任何更改以使其更加友好,在解决了所有类型的错误和变更后软件最终部署到最终用户 维护阶段 维护阶段是SDLC
1K20编辑于 2023-03-07 - 来自专栏Opensource翻译专栏
DevOps中的闸门生产[DevOps]
闸门对DevOps至关重要 在这之前,让我们来讨论DevOps实践在软件交付生命周期(SDLC)流程中的作用。我相信DevOps的作用是负责并减少SDLC管理中固有的风险。 要更深入地了解与DevOps相关的SDLC,请阅读Brian Son关于DevOps管道的文章。 整套DevOps实践围绕其实践支柱进行工作:持续集成,持续部署/交付和持续监控。 为了减轻这种情况,许多人建议在SDLC中的适当位置使用以下测试方法: 1.单元测试 2.整合测试 3.功能测试 4.渗透测试 5.验收测试 当需要对软件的质量和就绪性进行某种程度的保证时,有人必须验收并说 闸门的类型 闸门必须进行更精确的测试和批准,以确保在不影响软件交付时间的情况下妥善处理SDLC流程。 我想讨论两种类型的闸门:手动和自动。 传统测试 下图显示了传统的测试过程,因为软件是使用SDLC中的敏捷过程交付的。 每个步骤的结果决定了需要采取的行动,然后将代码重新放入循环中,并重复执行直到其质量足以交付给客户为止。
1.2K11发布于 2019-12-25 - 来自专栏程序你好
持续测试资源前10名
[INFOGRAPHIC] Continuous Testing: 解释了持续测试如何帮助组织加速SDLC和充满信心地发布。 Ariola on the Future of the Software Development Lifecycle: Parasoft的首席战略官讨论了软件开发生命周期的未来,以及为什么完全重新发明SDLC 1)连续测试驱动SDLC的中央决策系统,提供对应用程序健康状况的实时、可量化的评估。 2)持续测试建立了一个安全网,使软件开发人员能够更快地将新特性推向市场。
46830发布于 2018-07-23 - 来自专栏ATYUN订阅号
机器学习与软件开发生命周期
编辑 | KING 发布 | ATYUN订阅号 新的软件开发生命周期(SDLC)意味着要找到适应您的机器学习工作流程的方法。 机器学习引入了SDLC无法解决的模式和技术问题。为了解决这个问题,我们既需要适应SDLC,也要解决数据科学家与其他开发人员之间的文化差异。 ? 重要的是要记住,机器学习领域仍在发展,因此是不统一的。 SDLC具有可预测的预定发布时间,而数据科学周期则不稳定且不可预测。
74810发布于 2019-12-31 - 来自专栏云原生实践
为什么是云原生 —— 速度和稳定性,平台和全周期开发
但是不管怎样,传统的软件开发生命周期(SDLC)已经因为云的出现而中断。 全周期开发:破坏SDLC 在SDLC的传统方法中,工程师非常专注,并经常在孤岛上工作;运营建立和管理数据中心;架构师设计系统,画方框和箭头,并提供架构管理;开发人员通常针对其整体应用程序的本地运行实例对大量更改进行编码和测试 因此,云原生SDLC截然不同。开发人员正在执行足够的前期架构设计。开发人员正在针对多个服务编写小的迭代更改,其中一些服务可能在本地运行,而其他服务则在远程运行。
64060发布于 2021-05-31
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号