在 2022 年初,谷歌云副总裁兼首席信息安全官 Phil Venable 确定了推动云采用和增强安全性需求的大趋势。其中一个趋势是软件定义基础设施的兴起,这使得有必要将安全配置编码为可在应用程序开发和部署期间引入的代码。这意味着组织可以分析其安全配置并在必要时实施更改,并更快地重新部署应用,同时持续监视其安全配置以确保它们符合组织的安全策略。安全即代码的兴起安全即代码于 2020 年作为资源工具集引入,旨在帮助保护软件开发生命周期。此后,它获得了一定程度的牵引力。由于它能产生具有持续可验证控件的可分析安全配置,现在正慢慢被采纳为现代安全态势的一部分。SaC 将安全性作为 DevOps 的关键部分进行集成,通过确定开发过程中需要安全控制的地方来建立有效的安全控制。它要求开发人员在代码中指定基础架构平台和配置,而不是在代码完成后对其进行处理,从而确保经济高效地实施安全检查和测试,这样就可以避免延迟和对代码和基础结构进行不必要的更改。正如谷歌副总裁Phil Venables所言,安全即代码的优势在于提供与组织确定满足独特安全要求所必需的安全配置相对应的安全配置。虽然许多安全漏洞是由于意外和未知风险而发生的,但也有些安全漏洞是由于组织未能部署特定的安全控制引起的,如果他们仔细分析其需求并不断测试其安全态势有效性,他们就可以部署这些安全控制。SaC 与基础架构即代码策略相关联,该策略源于从手动流程转向更有效地保护软件定义的网络和系统(尤其是虚拟机、容器及其相关软件)的需求。安全专家认为,随着组织继续转向云原生基础设施,他们将更需要安全即代码。以基于边界系统为首的传统系统被认为不可持续,并且对困扰软件定义云网络的快速演变的威胁效率较低。所以安全即代码也被称为未来应用程序安全的燃料。如何实施安全即代码并不难实现。执行此操作的一种基本方法是在 CI/CD
管道和代码中设置安全规则、工具、策略、测试、扫描和代理,这需要在提交一段代码时自动进行测试。因此,必要时,开发人员可以对安全测试结果进行评估和纠正。SaC的主要目标是在开发团队编写代码时持续执行安全测试,以确保在准备代码时(而不是在完成后)修复问题并优化性能。如果做得好,组织可以节省更多的时间、精力和资源。有些人错误地将 SaC 等同于 DevSecOps,但它只是其中的一部分——朝着 DevOps 中集成安全性迈出了相当大的一步。它不是DevSecOps,但它涉及许多与DevSecOps框架一致的组件。这些组件分别是访问控制和策略管理、漏洞扫描和安全测试。访问控制和策略管理——SaC 实施的第一步关键是定义访问控制和策略管理。组织需要制定正式的治理决策和策略遵守系统,为安全需求提供明确的参考。有了这个,开发团队可以专注于关键功能,因为他们可以将授权卸载到外部库(符合既定的安全策略)。这既加快了开发过程,也不会影响安全性,从而建立安全策略的中央存储库和开发人员可以通过该平台监控和验证授权的通用平台。漏洞扫描——这是关于验证应用程序每个组件的安全性及其在应用程序的整个生命周期中的部署。用于确定漏洞的威胁情报不必由组织本身开发。它可以基于 OWASP 漏洞和其他威胁情报源或网络安全框架。但是,漏洞扫描必须是一个自动且持续的过程,才能具有可持续性和有效性。例如,跨站点脚本和 SQL 注入的检测可能很复杂、重复且乏味。但是SaC 实施需要自动化和连续性。安全测试——最后,SaC 需要有一个安全测试组件来检测可能导致应用程序完整性、可用性以及其包含或处理的数据的隐私或机密性的问题。需要明确的是,安全测试不是漏洞测试的冗余。安全验证不仅仅是检测和堵塞可能被威胁参与者利用的安全漏洞。它还解决了配置错误、数据不安全、暴露公司机密的可能性、应用程序错误和不可接受的停机时间。重大变化和优势安全即代码并非旨在取代组织用于保护其 IT 资产的网络安全系统。它侧重于提供更深入的信息去保护应用程序安全性。首先,它能够快速、全面地适应安全要求的变化。随着安全性在整个开发生命周期中不断得到重视,开发人员可以获得更高的安全可见性,并通过确保及时的自动安全修复来降低与应用程序修补和网络攻击损害相关的成本。此外,SaC 还制定了一个框架,可促进安全、开发和运营团队之间更好的协作。它与许多网络安全专家倡导的“左移”目标一致。最终,这些将缩短发布周期、降低成本和无缝操作,不仅使组织受益,还能使客户受益。更快的产品发布、安全补丁和其他应用更新以及更好的整体安全性可以创造更好的客户体验。拥抱SaC也不是一个复杂的过程。想要避免处理太多技术细节去进行试错运行以实现最佳配置的组织可以转向第三方安全即代码解决方案。领先的安全公司提供面向 SaC 或 SaC 的解决方案,这些解决方案可与现有开发人员工具无缝运行,以解决编码错误、配置问题、安全漏洞和泄露的机密。这些解决方案可以全面扫描安全问题,实现可靠的策略实施,进行实时验证,并呈现操作测试结果。总结同样,安全即代码不能替代现有的全面安全状况管理系统。它强调了在应用程序开发过程中更加重视安全性的必要性,以便在应用程序和整体企业 IT 的安全性方面创造更多价值。虽然部分人可能将其视为额外的安全负担,但它创造的优势和好处肯定超过了采用新的网络安全范式的挑战。原文标题:Security
as Code: Creating a New Cybersecurity Paradigm Amid Growing Cloud Use,作者:Evan Morris 我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div
我有一个Ruby程序,它使用rubyzip压缩XML文件的目录树。gem。我的问题是文件开始变得很重,我想提高压缩级别,因为压缩时间不是问题。我在rubyzipdocumentation中找不到一种为创建的ZIP文件指定压缩级别的方法。有人知道如何更改此设置吗?是否有另一个允许指定压缩级别的Ruby库? 最佳答案 这是我通过查看rubyzip内部创建的代码。level=Zlib::BEST_COMPRESSIONZip::ZipOutputStream.open(zip_file)do|zip|Dir.glob("**/*")d
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
很好奇,就使用rubyonrails自动化单元测试而言,你们正在做什么?您是否创建了一个脚本来在cron中运行rake作业并将结果邮寄给您?git中的预提交Hook?只是手动调用?我完全理解测试,但想知道在错误发生之前捕获错误的最佳实践是什么。让我们理所当然地认为测试本身是完美无缺的,并且可以正常工作。下一步是什么以确保他们在正确的时间将可能有害的结果传达给您? 最佳答案 不确定您到底想听什么,但是有几个级别的自动代码库控制:在处理某项功能时,您可以使用类似autotest的内容获得关于哪些有效,哪些无效的即时反馈。要确保您的提
假设我做了一个模块如下:m=Module.newdoclassCendend三个问题:除了对m的引用之外,还有什么方法可以访问C和m中的其他内容?我可以在创建匿名模块后为其命名吗(就像我输入“module...”一样)?如何在使用完匿名模块后将其删除,使其定义的常量不再存在? 最佳答案 三个答案:是的,使用ObjectSpace.此代码使c引用你的类(class)C不引用m:c=nilObjectSpace.each_object{|obj|c=objif(Class===objandobj.name=~/::C$/)}当然这取决于
我正在尝试使用ruby和Savon来使用网络服务。测试服务为http://www.webservicex.net/WS/WSDetails.aspx?WSID=9&CATID=2require'rubygems'require'savon'client=Savon::Client.new"http://www.webservicex.net/stockquote.asmx?WSDL"client.get_quotedo|soap|soap.body={:symbol=>"AAPL"}end返回SOAP异常。检查soap信封,在我看来soap请求没有正确的命名空间。任何人都可以建议我
关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题?更新问题,以便editingthispost可以用事实和引用来回答它.关闭4年前。Improvethisquestion我想在固定时间创建一系列低音和高音调的哔哔声。例如:在150毫秒时发出高音调的蜂鸣声在151毫秒时发出低音调的蜂鸣声200毫秒时发出低音调的蜂鸣声250毫秒的高音调蜂鸣声有没有办法在Ruby或Python中做到这一点?我真的不在乎输出编码是什么(.wav、.mp3、.ogg等等),但我确实想创建一个输出文件。
我在我的项目目录中完成了compasscreate.和compassinitrails。几个问题:我已将我的.sass文件放在public/stylesheets中。这是放置它们的正确位置吗?当我运行compasswatch时,它不会自动编译这些.sass文件。我必须手动指定文件:compasswatchpublic/stylesheets/myfile.sass等。如何让它自动运行?文件ie.css、print.css和screen.css已放在stylesheets/compiled。如何在编译后不让它们重新出现的情况下删除它们?我自己编译的.sass文件编译成compiled/t
我想将html转换为纯文本。不过,我不想只删除标签,我想智能地保留尽可能多的格式。为插入换行符标签,检测段落并格式化它们等。输入非常简单,通常是格式良好的html(不是整个文档,只是一堆内容,通常没有anchor或图像)。我可以将几个正则表达式放在一起,让我达到80%,但我认为可能有一些现有的解决方案更智能。 最佳答案 首先,不要尝试为此使用正则表达式。很有可能你会想出一个脆弱/脆弱的解决方案,它会随着HTML的变化而崩溃,或者很难管理和维护。您可以使用Nokogiri快速解析HTML并提取文本:require'nokogiri'h
我想为Heroku构建一个Rails3应用程序。他们使用Postgres作为他们的数据库,所以我通过MacPorts安装了postgres9.0。现在我需要一个postgresgem并且共识是出于性能原因你想要pggem。但是我对我得到的错误感到非常困惑当我尝试在rvm下通过geminstall安装pg时。我已经非常明确地指定了所有postgres目录的位置可以找到但仍然无法完成安装:$envARCHFLAGS='-archx86_64'geminstallpg--\--with-pg-config=/opt/local/var/db/postgresql90/defaultdb/po
