作者:新思科技软件质量与安全部门安全团队
真正实施DevSecOps需要关键的文化和实践变革,将安全性集成到软件开发生命周期(SDLC)中。本文将介绍DevSecOps的五个基本要素。
DevSecOps是一种全新的安全理念和模式,从DevOps的概念延伸和演变而来,如今备受企业青睐。但是如何在不降低开发周期速度的情况下,把安全融入DevOps进程,有效实施DevSecOps呢?新思科技能够将工具和服务无缝集成到 DevSecOps 和您的 SDLC并且帮助您查找和修复专有代码、开源组件和应用程序行为的缺陷,从而帮助企业更快地构建安全优质的软件。
我们正快速向DevSecOps迈进,同时静下心来进行自我定位是非常有意义的。长期以来,开发和运营团队相互协调,为同一个目标奋进:快速交付稳定的、高质量的软件。通过将手动流程自动化并且将工具构建到持续集成和持续交付(CI/CD)管道,增加了团队之间的信任,这对那些曾经在不同的部门、如今一起解决关键问题的团队来说是非常必要的。
当谈论DevOps原则时,人们很容易想到在公司里应用DevOps的三种不同方法,但是每一种方法都促进了整个DevOps概念的落地,包括帮助团队在公司实施其规范性的步骤。
这个重要基础很自然会导向DevSecOps。在软件开发生命周期(SDLC)早期采用DevOps可以缩短反馈回路并且降低复杂性,从而使工程师能够更快、更轻松地检测和修复安全性和合规性问题。
在技术价值流中,DevOps可能是将信息安全更好地集成到每个人日常工作的最佳方式之一。—The DevOps Handbook
真正实施DevSecOps需要关键的文化和实践变革,将安全性集成到软件开发生命周期(SDLC)中,这包括以下5个方面:
所以要做到成功的DevSecOps只需要这五个基本要素吗?我知道你们怎么想 —— 知易行难。那么,你如何在组织中实现每项变革呢?
为你的工作环境找到正确的工具是重要的一步,你需要找到适合CI/CD工作流以及自动运行的工具。不仅仅如此,你还需要这些工具能够在出现问题时通知合适的人,对其进行相关培训,并提供如何修复的指导。而且在集成和测试期间,以及在安装、部署和维护中,你不能只做一次。你必须在开发生命周期早期进行测试(我们通常称之为“向左移”)。在应用程序投产之后,你无法确保其持续的安全性,你必须在生产过程中持续测试并且修复任何新的安全问题。
尽管采用DevOps方法以及CI/CD技术非常重要,但并非企业或组织中所有的团队都必须采取这些方式。—451 Research
仅凭安全的工具和自动化无法保证应用程序的安全性。投资你的团队并且使他们能够构建真正的DevSecOps文化,将软件安全培训作为优先事项,并且确保培训与员工的角色和项目相关。或许最重要的是,你需要记住DevOps不是微小的改变,这是对公司文化的真正改变,这需要时间、培训、工具以及拥抱DevOps文化的愿望。将安全性集成到DevOps团队的日常工作中可能需要耗费时间,但这是有价值的。开发、运营和安全团队将协同工作,以提高交付软件的质量和安全性,从而加快软件交付速度,最终提升客户满意度。
好文章,需要你的鼓励
文章详细介绍了Character.AI这款主要面向娱乐、角色扮演和互动叙事的AI聊天工具的原理、用户群体、特色功能以及面临的法律与伦理争议,同时揭示了其新推出的视频和游戏互动体验。
上海人工智能实验室研究团队开发了MMSI-Bench,这是首个专注于多图像空间智能评估的全面基准。研究人员花费300多小时,从12万张图像中精心构建了1000道问题,涵盖了位置关系、属性和运动等多种空间推理任务。评测结果显示,即使最先进的AI模型也仅达到41%的准确率,远低于人类的97%,揭示了AI空间认知能力的重大缺陷。研究还识别了四类主要错误:物体识别错误、场景重建错误、情境转换错误和空间逻辑错误,为未来改进提供了明确方向。
思科报告指出,自主型人工智能未来三年内有望承担高达68%的客户服务任务,通过个性化与前瞻性支持提升效率与节省成本,但用户仍重视人与人之间的互动和健全的治理机制。
卡内基梅隆大学研究团队开发了ViGoRL系统,通过视觉定位强化学习显著提升AI的视觉推理能力。该方法让模型将每个推理步骤明确锚定到图像的特定坐标,模拟人类注视点转移的认知过程。与传统方法相比,ViGoRL在SAT-2、BLINK等多项视觉理解基准上取得显著提升,并能动态放大关注区域进行细节分析。这种定位推理不仅提高了准确性,还增强了模型解释性,为更透明的AI视觉系统铺平道路。