运行时应用程序的自我保护是更安全的软件开发的关键因素吗

2020-02-03 14:50:38 来源: INeng财经

其中一个挑战是接受敏捷开发和对IT采取DevOps方法,将安全性纳入其中,使其不会成为快速迭代发布周期的障碍。

一个新的报告由信息安全和研究公司Securos is,“理解和选择运行时应用程序安全和保护”,探索DevOps团队如何解决当今的应用程序安全问题,以及运行时应用程序自我保护(RAS P)模型可以在敏捷开发过程中提供即时和可衡量的好处。

正如DevOps有开发人员支持他们开发的应用程序一样,RASP作为将开发与安全性集成的一种方式正在获得吸引力。总部设在蒙特利尔的“免疫”公司联合创始人、CTO的迈克·米尔纳(Mike Milner)表示,公司成立于两年半前,是为了认识到这一转变,以及网络应用安全难以做好的现实。“企业很难保持专业知识。

RASP是2012年Gartner的一份名为“运行时应用程序自我保护:必须拥有,新兴的安全技术”的报告中最初提出的一个术语;自免疫组织推出以来,该公司一直专注于通过该模型使Web应用程序安全变得更容易。米尔纳说,随着其他玩家进入市场,这一概念开始成熟。“我们感觉到这项技术正在进入自己的领域。

企业如何使用RASP有很大的不同,但他说。一些组织已经在做敏捷和DevOps。“他们很难把它与他们现有的安全要求结合起来。对他们来说,RASP很好。“米尔纳说,它允许更好的集成和反馈循环。“它提供了他们正在寻找的直接利益。

在频谱的另一端,是那些拥有现有Web应用程序的组织,它们没有最好的安全保护,并且存在将它们与防火墙很好地集成在一起的挑战。米尔纳表示:“他们正在寻找安全性的一个步骤,他们可以部署跨领域的应用程序。”他们希望在整个组织内部署RASP,以提供基线保护。这些评价往往稍显迟缓。”

传统上,开发人员将构建一个Web应用程序,然后由一组单独的开发人员或网络安全团队来确保它与组织的安全参数一起工作。米尔纳表示:“每一个新部署的应用程序都需要更新防火墙。这使得部署变得缓慢,并且对快速发展产生了影响。“在一个快速发布的环境中,有单独的团队并没有多大意义。

他说,一些组织已经将RASP视为变革的一种手段,而Securos is报告提供了这些有趣的学习,更多地了解它如何适应更大的情况,并就需要向潜在的RASP提供商询问哪些问题提供了指导。

米尔纳说,同样重要的是要记住,RASP不是安全工具的替代品;它所做的是允许更好的实时集成和保护。正如《证券日报》报道所指出的,

“对于(DevOps)团队来说,安全产品必须做的不仅仅是解决应用程序安全问题;它们需要与持续集成和持续部署方法相结合,同时提供自动化能力并更好地与开发人员工具集成。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。