捕获安全策略(如数据访问)作为代码,然后可以在软件交付生命周期内进行测试和自动化。
将这些策略视为代码的目的不仅在于捕获软件和数据中的策略,还在于实现公司一致应用的安全自动化,并应用软件工程实践,例如,保持代码处于版本控制之下,观察和监控策略操作。
这使得公司能够自动执行其安全策略,从而增强与中断和威胁相关的保护。
它是什么?
随着技术格局变得更加复杂,自动化和工程实践可以帮助公司保持安全。安全策略即代码,将安全策略编码到位,例如访问控制,可以将策略视为测试。
这意味着,当您的软件团队编写代码时,他们可以将这些策略作为代码测试,以验证其代码是否安全——如果不安全,他们可以采取措施予以纠正。按照这种方法,您的团队可以确信投入使用的任何代码都遵循您的安全策略。
因为您的安全策略被视为代码,所以您应该对其应用工程实践,例如版本控制,以及观察和监控其性能。
有何益处?
安全策略即代码可以提高您在越来越复杂和快速移动环境中保持安全的能力。您可以确保所有生产系统的访问控制等的策略要求稳健且处于最新状态。
此外,由于您能够自动进行更多的安全测试,训练有素的安全专家能够集中精力识别和补救难以发现的边缘用例。
需考量的因素?
将安全作为开发过程的一部分,这对许多团队和组织来说是巨大的变革——它催生了文化变革,对于那些习惯于孤岛式工作的公司来说,文化变革可能很难实现。使用红队、蓝队、紫队安全团队和结构有助于缓解这些不利因素。
如何应用?
作为公司安全实践的一部分,安全策略即代码越来越多地被采用。其支持工具正逐渐成熟,已经有许多团队的成功使用案例。在敏捷生命周期中,它与 DevOps 结合,创建一个称为 SecDevOps 的组合解决方案。
Would you like to suggest a topic to be decoded?
Just leave your email address and we'll be in touch the moment it's ready.