Linuxeden开源社区年复一年,企业都会在安全方面面临挑战,2017年也不例外。与其向业界宣传安全的重要性,还不如试着找一种新方式让安全重回中心。
“问题是,根据CA Veracode和DevOps.com的2017年DevSecOps全球技能调查,当今世界没有对开发人员进行适当的编码安全教育。“DevOps.com主编Alan Shimel表示,”由于行业违规行为的出现,则进一步强调了将安全问题整合到 DevOps 流程中的必要性,因此更多组织需要确保在其DNA中加入适当的安全培训。“由于一般的教育不能满足安全需求,所以组织需要通过增加对教育的支出来弥补差距。”CA Veracode 11月份的软件安全开发者指南重申了安全教育的必要性,并强调这不是一个一次性的提议。随着应用程序体系结构,语言和功能的不断变化,开发人员需要不断学习应用程序安全技能,并在专业领域进行实践。
DevSecOps 成为一种流行趋势,这让 DevOps 团队开始思考如何将安全问题融入软件的整个生命周期。“目前应用程序最大的安全问题是开发组织并没有去保护他们的软件,他们迫切发布软件。如果组织没有在各个层面上衡量和报告安全与发展之间的共同责任,那么安全问题始终会存在。”Veracode 开发人员Peter Chestna 说。
开放 Web 应用安全项目组织(OWASP)正式发布了十大最关键的Web应用安全风险。这是该组织自 2013 年以来的首次更新。2017年前10名版本包括:注入(Injection),破坏身份认证(Broker Authentication),敏感数据泄露(Sensitive Data Exposure),XML外部处理器漏洞(XXE),失效的访问控制(Broken Access Control),安全配置错误(Security Misconfiguration),跨站脚本攻击(XSS),不安全的反序列化(Insecure Deserialization),使用含有已知漏洞的组件C(Using Components with Known Vulnerabilities),记录和监控不足风险(Insufficient Logging and Monitoring)。
展望 2018 年,Gartner 预测,随着安全性在数字世界变得越来越重要,更多的组织将采用持续的适应性风险和信任评估(CARTA)模型来应对安全问题。
根据卡内基梅隆大学软件工程研究所(SEI)2017年新兴技术领域风险报告,在新的一年中将面临最大风险的技术将包括智能交通系统,机器学习和智能机器人。
来自:sdtimes
转自 http://www.oschina.net/news/91779/2017-security-not-afterthought