DevSecOps:如何将安全性引入敏捷开发和CI / CD



之所以出现Devops,是因为想要频繁发布的开发团队与需要保持可靠性和稳定性的运营团队之间存在文化,功能和技术上的隔walls。 Devops文化致力于实现目标和devops做法的思想,协作和实践-包括持续集成和交付(CI / CD),基础架构即代码(IaC)和AIOps,它们在应用程序监视中利用机器学习来实现实施。 随着越来越多的人和组织采用devops,很明显,“ devops”一词无法描述运动的全部范围,实践和要求。我曾经说过需要DevOps,并且在可行的情况下推荐了左移测试方法。 但同样重要的是,即使不是更重要的,也需要使每个人对安全负责。将安全性转移到开发和运营(或DevSecOps)中可以帮助您实现这一目标。 在进行开发之前,开发团队通常在应用程序发布过程的最后阶段实施安全实践,通常是变更咨询委员会(CAB)所要求的步骤。由于安全团队是在流程后期加入的,因此他们只有有限的时间来学习业务需求,了解技术变更,评估风险以及运行安全测试。当安全团队升级问题时,在不影响时间表的情况下补救问题的时间很有限,并且需要对代码进行实质性更改的问题使开发团队难以选择。 要继续阅读本文,请立即注册 免费访问

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

只需50美元即可训练成为一名熟练的Python编码器

Resim
Python是世界上使用最广泛的编码语言之一。而且,好消息是,它并不是很难学习的,尤其是对于那些使用其他平台的人。如果您想对该语言进行介绍,而又希望避免接受传统的大学教育,请尝试使用2020完整Python编程认证捆绑包。 该软件包包含价值$ 2,385的专家指导培训,对于想要使用Python编程语言进行速成课程但希望按照自己的条件学习它的任何人来说,它都是理想的选择。它包括12门课程,向学生介绍基础知识,还说明了如何在从自动化到数据挖掘再到区块链的各种应用程序中使用该语言。 这些课程在线提供,因此您可以随时随地学习,全天候24/7。只需使用台式计算机或移动设备从任何地方登录即可。而且,由于您将终生享受内容的访问权限,因此不必着急完成它们。 这可能是获得培训的最轻松方式,可以对您的职业生活产生重大影响。毕竟,Python一如既往地受欢迎,并且这种趋势预计不会很快改变。 通过面向读者的“完整2020 Python编程认证捆绑包”,您可以发现自己的才能,价格仅为49.99美元。 完整的2020年Python编程认证套件-49美元。 99 查看交易 价格随时可能更改。 这个故事“火车只需50美元即可成为一名熟练的Python程序员” 计算机世界。 版权所有©2020 IDG Communications,Inc. 紧贴InfoWorld的新闻通讯,以了解软件开发人员,分析师,数据库程序员和数据科学家的情况。 从我们仅限会员的内幕文章中获取专家见解。.
Devamı

DataStax 使 Astra 流媒体服务普遍可用

Resim
在为其 AstraDB NoSQL 数据库即服务添加低延迟更改数据捕获 (CDC) 功能仅几个月后,DataStax 周三表示,它正在使其托管的 Astra Streaming 服务普遍可用。 Astra Streaming 建立在开源 Apache Pulsar 项目之上,内置 API 级支持,支持其他流媒体和消息传递平台,如 Apache Kafka、RabbitMQ 和 Java 消息服务 (JMS),Patrick McFadin 说,开发者关系副总裁数据税。 Pulsar 最初由 Yahoo 构建,现已成为与 Apache Kafka 竞争的开源事件流工具,后者实时处理和交付数据库更改,并将结果分发到企业选择的登陆区域。 该公司表示,借助 Astra Streaming,DataStax 希望帮助企业应对成为云原生的挑战,并在现有基础设施周围寻找效率。 “我们不想告诉企业从头开始重写他们的应用程序只是为了使用一些新技术,这就是为什么我们在开源 Pulsar 上构建 Astra Streaming 并集成了对其他流行的流媒体和消息传递服务的支持,例如 Kafka ”麦克法丁说。 DataStax 产品管理副总裁 Chris Latimer 表示,Astra Streaming 采用即用即付定价结构并支持多云环境,预计其拥有成本将低于其他消息传递和流媒体服务。< br> “我们发现,虽然组织喜欢 Kafka API,但他们对其庞大的架构和使 Kafka 企业就绪所需的高昂许可成本越来越感到沮丧,”Latimer 说。 随着企业寻求抵消大流行和其他地缘政治情景的负面影响,对实时交互式应用程序的需求不断增长,这反过来又提出了实时数据流的案例以及对 Astra 等服务的需求流媒体。 “业务是实时发生的,持续处理数据流对于企业优化决策、行动和体验至关重要。 流数据可以改变游戏规则,让公司做出预测性业务决策并获得竞争优势,”Amy Machado 说,IDC 研究总监。 Ventana Research 研究总监 Matt Aslett 表示,新托管流媒体服务的推出有助于消除企业数据孤岛并支持现代数据应用程序,从而增加开发人员采用的机会。 “托管服务通过减少对前期基础架构配置和持续运营管理和监控的需求,促进了开发人员的采用,”Asle
Devamı

TypeScript 4.1 Beta带来了模板文字类型

Resim
TypeScript 4.1是对Microsoft流行的开源语言的计划升级,已向JavaScript添加类型,现已作为Beta版提供,它具有模板文字类型和许多其他改进。 模板文字类型与JavaScript中的模板文字字符串具有相同的语法,不同之处在于它在类型位置中使用。 当与具体文字类型一起使用时,通过串联内容会产生新的字符串文字类型。 9月18日发布的TypeScript 4.1 beta版还允许开发人员使用新的as子句重新映射映射类型中的键。 此新子句允许开发人员利用模板文字类型之类的功能在旧属性的基础上创建新的属性名称。可以通过不生成键来过滤键,从而使开发人员在某些情况下不必使用额外的Omit助手类型。 TypeScript 4 1的候选版本将于10月发布。当前的主要版本TypeScript 4.0于8月发布。 TypeScript 4.1的其他功能包括: 借助递归条件类型功能,可以减轻对条件类型的某些限制,这些条件类型现在可以在其分支中立即引用自己,从而更容易编写递归类型别名。 Microsoft警告:应以负责任的态度谨慎使用递归类型。 一个新的标志--noUncheckedIndexedAccess提供了一个节点,其中每个属性访问或索引访问都被认为可能是未定义的。该标志可以捕获越界错误,但对于很多代码而言可能会很嘈杂。 --strict标志不会自动启用它。 可以在没有baseUrl的情况下使用paths选项,以避免自动导入使用不良路径的问题。 现在,checkJs隐含了allowJs,从而解决了启动已检查的JavaScript项目同时需要allowJs和checkJs的情况,这会引起冲突。 通过两个新的jsxcode编译器选项react-jsx和react-jsxdev选项,支持React 17框架的jsxcode和jsxscode工厂功能。 JSDoc标记@see现在在JavaScript和TypeScript的编辑器中具有更好的支持。 在重大更改中,标记为抽象的成员不能再标记为异步。在另一个重大更改中,Promise中不再提供resolve参数。 可以通过NuGet或NPM访问TypeScript 4.1 beta: npm安装typescript @ beta 版权所有©2020 IDG Communicatio
Devamı