利用 DevSecOps 自動化工具來融合資安、開發與維運團隊的最佳實務

Copyright © 2024 Docutek Solutions. All rights reserved. | ‹#›林皇興Lambert LinVP / CISSP/達友科技Docutek Solutions(Synopsys新思科技/應用安全方案代理) 資安、開發與維運團隊的DevSecOps當今挑戰 問題:開發人員很討厭會拖慢開發進度的工具與資安檢查流程 問題:軟體與應用系統是駭客入侵活動的#1攻擊表面 問題:維運與開發團隊為漏洞修補而感到疲累不堪,無法聚焦真正風險 目標:確保您所開發交付的軟體安全且可信賴 目標:需要確保安全測試工具不會阻礙開發 目標:需要識別並關注大量紀錄中的真正風險 SDLC進階到SSDLC ,發展一個安全的,可靠的軟體 軟體組建清單SBOM越來越受重視 歐盟新法網路韌性法案Cyber Resilience Act / CRA •2024年3月12日，歐洲議會以517票對12票贊成（78票棄權）的多數票通過 •標的:具有數位元素的產品(products with digital elements, PDE)•所有數位產品製造商、進口商和零售商需遵循•大幅改變產品的資訊安全規範和使用開源軟體的責任，違者恐面臨罰款甚至失去CE標誌的風險•違反CRA處以最高1500萬歐元或上一財年全球年營業額2.5%的罰款（以較高者為準） 企業使用【開源軟體】方式àSupply Chain供應鏈風險 DevSecOps讓安全活動無縫整合到軟體生命週期 •要有效的達成應用安全，是需要一些自動化工具的輔助 •AppSecTesting工具融入DevOps，打磨成適合自身的DevSecOps工具鏈 •理想的DevSecOps工具鏈的應滿足以下特點：非侵入式、自動化、智慧能力、可視性及開放性 新思科技 2024臺灣資安大會 Black Duck SCA協助控制引用開放原始碼帶來的可能風險 Black Duck開源弱點比對&合法授權工具之分析技術 SCA : Black Duck–系統架構 2024臺灣資安大會 自動化Pipeline整合到CI/CD流程 例如GitHub,微軟Team FoundationServer (TFS), AzureDevOps在Build & ReleasePipeline中可自動整合SCA分析工具 提供軟體風險的消弭建議 2024臺灣資安大會 可追蹤弱點修正的軌跡 開源弱點比對&授權合法性分析之流程 在應用安全測試領域，是廣受認可的領導者 2024臺灣資安大會 Synopsys的應用安全方案，智慧地將資安融入DevOps中 達友科技代理的主要品牌與應用 利用DevSecOps自動化工具來融合資安、開發，與維運團隊的最佳實務 林皇興Lambert LinVP / CISSP/達友科技Docutek Solutions(Synopsys新思科技/應用安全方案代理)