软件合规性团队应借鉴DevSecOps实践

2019-09-10 07:26:00 来源:EEFOCUS
标签:

尽管软件测试对于合规性至关重要,但当测试工具无法跟上现代软件开发的速度时,开发人员也会感到沮丧。本文将为您解析如何在不影响软件开发速度的情况下进行有效的软件合规性测试。

 

许多人认为应用安全仅仅应该是安全团队的责任。然而,虽然安全专家可以对此做出贡献,开发人员通常是唯一具备修复软件安全漏洞的技术能力的人。软件合规性也是如此。归根结底,只有开发人员才能构建符合特定软件标准的应用程序。

 

考虑到开发团队的紧迫期限,给他们额外的职责可能会带来挑战。为了帮助开发人员在不降低速度的情况下交付安全的应用程序,许多团队采用了DevSecOps,鼓励将自动安全测试集成到每个版本的DevOps工作流程中。

 

DevSecOps帮助团队更快地交付更安全的软件,但是否是更加符合合规性的软件呢?许多尝试实现软件合规性的团队遇到了与试图实现软件安全性的团队相似的挑战。幸运的是,他们可以采用相似的策略。

 

DevSecOps的作用是什么?

DevOps工作流程支持快速迭代的软件发布周期,这给软件安全带来了一定障碍。

 

在保护软件安全的传统方法中,测试是在应用程序构建之后,软件开发生命周期结束之后才进行的。结果,大多数(如果不是全部的话)应用程序同时测试,并且将一长串、令人生畏的安全问题清单发回给开发人员。

 

然而,许多团队发现这种方法与DevOps不兼容。开发团队没有时间,更不用说预算,来停止他们正在做的事情去处理一大堆表格中的问题。

 

为了解决这个问题,企业可以通过将安全测试集成到DevOps发布周期更短的、更高频率的反馈循环中,以实现DevSecOps。DevSecOps要求在早期经常执行自动安全测试,而不是在开发人员完成构建应用程序之后运行大型的测试。通过帮助开发人员编入更安全的代码,DevSecOps有助于减少质量保证(QA)必须识别以及发回来的问题数量。

 

如果开发团队可以将安全测试集成到DevOps工作流程中,为什么不将合规性测试也集成到DevOps工作流程中呢?

 

如何将DevSecOps实践应用到软件合规性中?

 

虽然安全测试通常与合规性测试要求不一样的分析方法,但是尝试DevSecOps的开发团队可以使用类似的方法来进行合规性测试。

 

正如传统的应用安全测试一样,合规性测试通常发生在QA环境中。大致的应用开发和测试流程如下所示:

 

1.  开发人员编写应用程序的代码

 

2.  QA在开发人员转移到另一个项目时测试代码

 

3.  QA向开发人员发送一份违反合规性的列表,要求他们暂停当前的工作,先解决这些问题

 

这种合规性测试策略在技术上并没有什么问题。然而,这种方法并不受开发人员欢迎,如果问题列表特别长,对于开发团队来说可谓代价高昂。为了在应用程序完成之前解决更多的合规性问题,团队可以实施受DevSecOps启发的实践,来帮助开发人员在软件开发生命周期(SDLC)早期提交合规性代码。

 

策略之一是将自动合规性测试集成到DevOps发布周期中。通过定期测试而不是一次性测试应用程序,团队可以减少每个测试周期违规的数量。显然它需要在整个SDLC中进行更高频率的测试,事实证明这种方法比在QA中找到问题更快。

 

另一种方法是在集成开发环境(IDE)中创建沙箱环境,开发人员可以自己在其中运行测试。在编写代码时测试他们自己写的代码,使开发人员能够编入更清晰、更合规的代码,

 

因此违规就不太可能出现在QA中或者更糟出现在生产中。这种方法另一个好处是帮助开发人员熟悉可能导致违规行为的代码。

 

这些识别和解决违规问题的策略并不意味着要取代QA测试。然而,通过将合规性测试集成到SDLC的多个阶段,团队将在QA和开发的反馈循环中看到更少的问题,这将会更好地支持DevOps工作流程。

 

在现实中又是怎样的情况呢?

就像安全测试一样,将合规性测试集成到DevOps发布周期需要新的技术和工作流程,它们都有不同的学习曲线。

 

关于技术,静态分析正成为帮助开发团队构建合规应用程序的流行的选择方式。静态分析工具之间的覆盖范围各不相同,但是总体而言,该技术可以在代码质量标准中发现问题,比如MISRA 和CERT C/C++,以及安全标准,比如OWASP Top 10和 PCI DSS。

 

团队选择的用来解决合规性问题的静态分析工具或者其他的任何技术在他们采用的工作流程中发挥着重要作用。如前所述,那些希望将问题排除在QA之外的人希望找到解决方案从而能够:

 

1.  将快速反馈循环集成到测试和开发中

 

2.  在开发人员编写代码时在IDE中扫描代码

 

在测试和开发之间构建一个持续的反馈循环可能代表了开发人员日常工作的重大转变。

 

虽然“DevSecOps”并不完全相同,但是受管制行业的开发团队可以通过将合规性测试集成到DevOps发布周期中来获得降低成本的益处。

 
关注与非网微信 ( ee-focus )
限量版产业观察、行业动态、技术大餐每日推荐
享受快时代的精品慢阅读
 

 

继续阅读
为了测试大规模传输技术,FCC又搞了什么“花样”出来?

与非网9月19日讯,美国联邦通信委员会(FCC)表示,他们在纽约市和盐湖城各划出了名为「Innovation Zone」的地区,用以测试大规模的次世代传输技术,这自然会包括 5G 了。

植入芯片治肥胖,已经在小白鼠上成功试验

8月16日消息?近日,六名病态肥胖的美国人已同意参加斯坦福大学的一项脑芯片临床试验,当他们考虑食物时,这种脑芯片会产生微小的电击,以阻止他们产生吃东西的想法。

与ECSITE合作,增加对测试设备的支持

ECSite Software Solution Provides Test Automation, Data Management and Reporting of 4G/5G Telecom Infrastructure Applications

5G带宽测试会遇到哪些问题?

今年的夏季很火热。同样地,作为全球5G商用的元年,今年也甚是火热。7月下旬,全球移动通信供应商协会发布的最新统计数据显示,截至2019年7月份中旬:有31个国家的54家移动通信运营商已经宣布在其现网中部署了符合3GPP标准的5G技术;已经有20个国家的35家移动通信运营商推出了符合3GPP标准的商用5G服务;

功率分析仪在IEC谐波的测试应用

摘要:谐波的分析方法有很多,为了统一标准,在不同应用场合,国际或国内标准组织提出了不同的测试标准,其中IEC谐波就是其中一种,本文重点阐述IEC谐波测试的应用和方法。 一、IEC谐波标准解读 在说到IEC谐波时,我们的印象中会有两个标准:IEC61000-4-7和IEC61000-3-2,这两个标准分别代表什么意思,

更多资讯
一种简单的测量土壤湿度和pH值(带温度补偿)的方法

图1所示电路是一种完整的单电源、低功耗、高精度解决方案,用于土壤湿度和pH值测量,包含温度补偿功能。

VIAVI推出全新NSC-100测试仪,助力技术人员和承包商加速网络及服务验证

Viavi Solutions公司(纳斯达克股票代码:VIAV)今日宣布推出全新Network & Service Companion(NSC)系列外场测试仪器中的首款产品NSC-100。

专访泰克:测试测量在变的“新常态”下如何创新?

科技领域时时刻刻都在发生变化,5G从畅想走向商用,AI从概念走向落地,自动驾驶汽车从设想到上路测试,新技术一步步成为现实,“变”成了这个时代的“新常态”。在这样的“新常态”下,新兴企业受到热捧,传统企业面临变革,作为新技术和新兴企业的支持者,测试测量厂商面临哪些机遇和挑战?如何进行战略转型应对这种多变?

TE Connectivity新型STRADA Whisper R连接器 支持扩展至112G PAM-4

全球高速计算与网络应用领域创新连接方案领军企业TE Connectivity (TE)今日宣布推出新型STRADA Whisper R背板连接器,该款连接器可使未来数据中心系统升级更加便捷。STRADA Whisper R背板连接器采用最新的优化封装,帮助确保低串扰,支持从56G PAM-4扩展到112G PAM-4。

是德科技推出首款单机、多通道宽带毫米波测量解决方案

是德科技公司(NYSE:KEYS)日前宣布推出首款单机多通道宽带毫米波测量解决方案。