如何兼顾产品开发的敏捷度与安全性? 浅谈DevSecOps与自动化的相辅相成

由仲至信息自行研发的HERCULES SecFlow 便提供实现DevSecOps流程的自动化辅助功能，让使用者快速且方便的建立信息安全沟通管道与机制，能各自赋与相关团队对应的权责，经由指派任务、审核和回报功能，让所有团队更快速的适应产品安全开发观念。透过SecFlow的政策模组，信息安全团队可对相关人员(如研发团队或维运团队)等发布信息安全相关资讯、程式码的安全开发注意事项等，经由一系列的指派和签核流程，以及最新资讯的提供，可达成加强各个团队的信息安全意识。

SecFlow具备更完整的漏洞管理功能，除提供多种第三方安全测试报告的汇入与漏洞追踪外，更可协助使用者建立产品与组件及信息安全情资的对应关系，透过强大的资料搜集器，将大量的国际漏洞资料与即时的信息安全新闻事件汇整分析为信息安全情资，并采用机器学习方式，自动与产品进行关联，快速对应出与自家产品相关的漏洞、信息安全新闻、信息安全事件等资讯，让相关团队随时掌握产品的信息安全风险程度，并能立即移除或修补已知的严重漏洞。最后，更可透过主动电子邮件示警以及行动应用App，使信息安全管理人员能准确掌握漏洞信息与处理进度，确保每个事件都已被修正或改善。

SecFlow扮演了在DevSecOps的自动化上的关键角色，除了省掉需要人工介入的团队信息交换、信息安全信息整理，以及清查产品漏洞与Open Source管理等耗时又耗力的工作，加上先进的数据搜集分析演算法，自动关联过滤出准确且必须处理的信息安全漏洞或事件，并透过即时示警机制，快速协助使用者处理与追踪信息安全议题，确保信息安全情资能在每个阶段中，回馈给所有团队。谁说安全与敏捷开发不易维持平衡? 透过SecFlow可以做的到，让DevSecOps的实施，能够完全适应各个团队，而不是造成更大的负担！

关于HERCULES SecFlow

HERCULES SecFlow是「产品信息安全管理系统」，针对产品开发相关团队，以Secure by Design的原则，提供自动化系统管理机制，管理与追踪DevSecOps的每个阶段，以及所需要的信息安全流程与措施，链接开发、安全、维运团队，快速建立安全的软件开发流程；SecFlow可即时提供信息安全漏洞与信息安全事件信息，透过自动化漏洞分析与管理功能，确保产品与第三方套件的安全性，降低软件开发过程衍生的信息安全风险，提升整体安全应变与处理效率，并避免产品安全问题所产生的争议诉讼。

参考资料：

[1] https://www.bnext.com.tw/article/55989/267-million-phone-numbers-exposed-online

[2] https://www.redhat.com/en/topics/devops/what-is-devsecops

[3] https://kknews.cc/zh-tw/tech/mmmgqa9.html

[4] https://devops.com/early-automation-key-requirement-devsecops-success/

[5] https://zhuanlan.zhihu.com/p/44691252

[6] Neil MacDonald, Mark Horvath, Ayal Tirosh, 16 November 2017, Integrating Security Into the DevSecOps Toolchain

[7] https://tech.gsa.gov/guides/understanding_differences_agile_devsecops/

[8] https://www.digicert.com/news/survey-integrating-security-into-devops/

[9] https://www.csoonline.com/article/3245748/what-is-devsecops-developing-more-secure-applications.html

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!