在 DevSecOps 中, Security 在其中的具体实践是怎样的?


在 DevSecOps 实践中,具体 Security 方面的实践是怎样的,是部署一个扫描器,对源代码进行审计,进行安全用例的测试吗,可是还是会有不易发现的问题。

具体实践时候,会和 SDL(安全开发周期)结合起来吗,并且现在都是云上的服务,如何更好的在 DevOps 中更好地涉及安全?
已邀请:

justinfu - 80后容器极客

赞同来自:


安全应该作为质量关卡(Quality Gate)来确保Fail Fast。根据Grafeas提出的标准流程,质量包含多个方面,基础的UT,基于Sonar的静态扫描,二进制的漏洞等等。DevOps的每个环节都可以根据需求将安全相关的监测的结果元数据绑定到二进制包上,这样才能确保在每一个环节中的二进制都是安全可靠的。

要回复问题请先登录注册