登录后更精彩...O(∩_∩)O...
您需要 登录 才可以下载或查看,没有账号?立即注册
×
经常看到一些安全公司画各种饼,说网络安全就业差距xxx万,听起来这个行业好像是蓝海,[1] 实际上哪家公司雇用这么多安全技术人员?在一线和二线互联网公司,app安全工程师:开发工程师=1:500应该是一位非常普遍的占比,乃至一些公司会更高,攻防只会是工作中的极少部分,更多的是柴米油盐。[2] 在app的开发效率上,与之前发生了非常大转变,商业环境的变幻莫测,为了支持新的业务,必须不断迅速开发新的app应用程序的软件环境也发生了非常大转变 。[3]
痛点
简单总结现在面临的困境:app数量、场景快速增加、功能反复周期短,原SDL流程不能融入新的开发模式,在线发现许多风险,直到被利用为止都没有感觉到。在小编近年来参与app安全建设的过程中,有着深刻的感触,往往面对许多app,有很多风险,有着深刻的无力感。当出现问题时,其他人总是问或问自己,这种风险的原因是什么?为什么没有事先发现?以后可以复盖吗?现在也许可以试着回答这个问题。
我觉得的app安全发展趋向,历经近些年的实践心得,在此讨论如何突破困境。最先,有关DevSecOps,在其中许多见解小编都认同,但与很多人的认知不同的是,SOAR、UEBA等不是执行框架,而是将其视为方法论。在SDL阶段,许多人在测量app安全建设的完成度时,会以各个阶段是否复盖为基准,但这显然是假命题,100%的复盖度不存在于现实中。
小编认为,app安全的发展趋向有三点:
1、业务、产品、开发、测试、安全五者之间合作关系的转变 ,每个人都必须对app安全负责。[安全前移]
2、安全风险的发现应融入开发-测试-配置的过程中,在上线前发现风险。[事前发现]
3、安全自动化(安全运行可持续化、安全流程自动化、风险感知自动化)。[标准化]
仅从这些见解来看,DevSec的一些见解似乎有共同之处,客观事实确实如此,但DevSec需要再次强调的是方法和思想,我们可以学习其优点,不能照猫画虎。
[3]趋势,app是业务流程的物质化,业务的迅速变化要求着app开发的快速跟随和响应。
| 
发表于 2022-9-19 10:56:40
