儘管軟體測試對於合規性至關重要,但當測試工具無法跟上現代軟體開發的速度時,開發人員也會感到沮喪。本文將為您解析如何在不影響軟體開發速度的情況下進行有效的軟體合規性測試。
許多人認為應用安全僅僅應該是安全團隊的責任。然而,雖然安全專家可以對此做出貢獻,開發人員通常是唯一具備修復軟體安全漏洞的技術能力的人。軟體合規性也是如此。歸根結底,只有開發人員才能構建符合特定軟體標準的應用程式。
考慮到開發團隊的緊迫期限,給他們額外的職責可能會帶來挑戰。為了幫助開發人員在不降低速度的情況下交付安全的應用程式,許多團隊採用了devsecops,鼓勵將自動安全測試整合到每個版本的devops工作流程中。
devsecops幫助團隊更快地交付更安全的軟體,但是否是更加符合合規性的軟體呢?許多嘗試實現軟體合規性的團隊遇到了與試圖實現軟體安全性的團隊相似的挑戰。幸運的是,他們可以採用相似的策略。
devsecops的作用是什麼?
devops工作流程支援快速迭代的軟體發布週期,這給軟體安全帶來了一定障礙。
在保護軟體安全的傳統方法中,測試是在應用程式構建之後,軟體開發生命週期結束之後才進行的。結果,大多數(如果不是全部的話)應用程式同時測試,並且將一長串、令人生畏的安全問題清單發回給開發人員。
然而,許多團隊發現這種方法與devops不相容。開發團隊沒有時間,更不用說預算,來停止他們正在做的事情去處理一大堆**中的問題。
為了解決這個問題,企業可以通過將安全測試整合到devops發布週期更短的、更高頻率的反饋迴圈中,以實現devsecops。devsecops要求在早期經常執行自動安全測試,而不是在開發人員完成構建應用程式之後執行大型的測試。通過幫助開發人員編入更安全的**,devsecops有助於減少質量保證(qa)必須識別以及發回來的問題數量。
如果開發團隊可以將安全測試整合到devops工作流程中,為什麼不將合規性測試也整合到devops工作流程中呢?
如何將devsecops實踐應用到軟體合規性中?
雖然安全測試通常與合規性測試要求不一樣的分析方法,但是嘗試devsecops的開發團隊可以使用類似的方法來進行合規性測試。
正如傳統的應用安全測試一樣,合規性測試通常發生在qa環境中。大致的應用開發和測試流程如下所示:
開發人員編寫應用程式的**
qa在開發人員轉移到另乙個專案時測試**
qa向開發人員傳送乙份違反合規性的列表,要求他們暫停當前的工作,先解決這些問題
這種合規性測試策略在技術上並沒有什麼問題。然而,這種方法並不受開發人員歡迎,如果問題列表特別長,對於開發團隊來說可謂代價高昂。為了在應用程式完成之前解決更多的合規性問題,團隊可以實施受devsecops啟發的實踐,來幫助開發人員在軟體開發生命週期(sdlc)早期提交合規性**。
策略之一是將自動合規性測試整合到devops發布週期中。通過定期測試而不是一次性測試應用程式,團隊可以減少每個測試週期違規的數量。顯然它需要在整個sdlc中進行更高頻率的測試,事實證明這種方法比在qa中找到問題更快。
另一種方法是在整合開發環境(ide)中建立沙箱環境,開發人員可以自己在其中執行測試。在編寫**時測試他們自己寫的**,使開發人員能夠編入更清晰、更合規的**,
因此違規就不太可能出現在qa中或者更糟出現在生產中。這種方法另乙個好處是幫助開發人員熟悉可能導致違規行為的**。
這些識別和解決違規問題的策略並不意味著要取代qa測試。然而,通過將合規性測試整合到sdlc的多個階段,團隊將在qa和開發的反饋迴圈中看到更少的問題,這將會更好地支援devops工作流程。
在現實中又是怎樣的情況呢?
就像安全測試一樣,將合規性測試整合到devops發布週期需要新的技術和工作流程,它們都有不同的學習曲線。
關於技術,靜態分析正成為幫助開發團隊構建合規應用程式的流行的選擇方式。靜態分析工具之間的覆蓋範圍各不相同,但是總體而言,該技術可以在**質量標準中發現問題,比如misra 和cert c/c++,以及安全標準,比如owasp top 10和 pci dss。
團隊選擇的用來解決合規性問題的靜態分析工具或者其他的任何技術在他們採用的工作流程中發揮著重要作用。如前所述,那些希望將問題排除在qa之外的人希望找到解決方案從而能夠:
將快速反饋迴圈整合到測試和開發中
在開發人員編寫**時在ide中掃瞄**
在測試和開發之間構建乙個持續的反饋迴圈可能代表了開發人員日常工作的重大轉變。
雖然「devsecops」並不完全相同,但是受管制行業的開發團隊可以通過將合規性測試整合到devops發布週期中來獲得降低成本的益處。
jxTMS 合規性保證
jxtms 低成本快速定製的業務系統個人開發平台。合規性保證之所以重要,乃在於其可以提供可立刻兌現的客戶價值 在jxtms中,合規性保證從一開始就是開發的重點,目前供提供了三個方面的保證能力 合規性保證是乙個雙刃劍,其缺點在上篇文章中我們討論的比較詳細了,主要就是因為系統的剛性也同樣會阻止中小企業靈...
ExchangeOnline合規性管理
一 就地電子資料展示和保留 就地電子資料展示允許組織內的授權合規性管理員搜尋整個exchange組織的郵箱資料 預覽搜尋結果,並可以複製到發現郵箱將其匯出到以pst為拓展名的檔案。就地電子資料展示使用的是exchange搜尋建立的內容索引,基於角色的訪問控制 role based access co...
敏捷世界中的合規性
合規性 compliance 是指確保人們正確地做事,並能夠證明做事的正確性。在實施敏捷和頻繁交付的情況下,人們需要為交付過程建立合規性。融入了合規性義務 compliance obligation 的devops團隊將更有可能取得成功。在atlassian 2018歐洲峰會 summit euro...