挑战之一是接受敏捷开发并采用DevOps方法进行IT,并将安全性纳入其中,这样它就不会成为快速迭代发布周期的障碍。
信息安全和研究公司Securos is的一份新报告《理解和选择运行时应用程序安全和保护》探讨了DevOps团队如何解决当今的应用程序安全问题,以及运行时应用程序自我保护(RAS P)模型可以在敏捷开发过程中提供立竿见影且可衡量的好处。
正如DevOps有开发人员来支持他们的应用程序一样,RASP作为一种将开发与安全性相结合的方式正在获得越来越多的关注。总部位于蒙特利尔的免疫公司联合创始人兼Mike Milner表示,公司成立于两年半前,就是为了实现这一变化,以及网络应用安全难做好的现实。“企业很难保持专业知识。
RASP是Gartner在2012年的一份报告中最初提出的一个术语,该报告题为“运行时应用程序的自我保护:必备的新兴安全技术”。自免疫组织成立以来,该公司一直致力于通过这种模式使网络应用程序的安全性变得更加容易。米尔纳说,随着其他玩家进入市场,这个概念开始成熟。“我们觉得这项技术正在进入我们自己的领域。
公司如何使用RASP是非常不同的,但他说。一些组织已经在进行敏捷和开发。“他们很难将其与现有的安全要求结合起来。RASP对他们非常好。”米尔纳说,它允许更好的集成和反馈回路。“它提供了他们正在寻找的直接利益。
另一方面,有些组织的现有网络应用程序没有最好的安全保护,将它们与防火墙很好地集成是一个挑战。米尔纳说:“他们正在寻找安全的一步,他们可以部署跨域应用。”他们希望在整个组织中部署RASP,以提供基线保护。这些评估通常有点慢。"
传统上,开发人员将构建一个网络应用程序,然后由一组独立的开发人员或网络安全团队来确保它与组织的安全参数一起工作。米尔纳说:“每个新部署的应用程序都需要更新防火墙。这使得部署变得缓慢,并对快速开发产生影响。”在一个快速发布的环境中,拥有一个独立的团队没有多大意义。
他说,一些组织已经将RASP视为一种变革手段,Securos is报告提供了这些有趣的研究,了解了更多关于它如何适应更大形势的信息,并就向潜在的RASP提供商提出哪些问题提供了指导。
米尔纳说,同样重要的是要记住,RASP不是安全工具的替代品;它的作用是允许更好的实时集成和保护。正如《证券日报》报告指出的,
“对于(DevOps)团队来说,安全产品必须做的不仅仅是解决应用程序安全问题;它们需要与持续集成和持续部署方法相结合,同时提供自动化功能和与开发人员工具的更好集成。