9 вечера
5pm 7 вечера
Продолжительность Предыдущая продолжительность
ОЦЕНКА ADPEX СЕГОДНЯ ПО СРАВНЕНИЮ С 1 НЕДЕЛЕЙ НАЗАД
С 7 часов назад по сравнению с 1 неделей назад
1.0
0.5
0
0.211
Самые медленные 10%/
продолжительность (90%)
ПРИБОРНАЯ ПАНЕЛЬ ПРИЛОЖЕНИЯ CPAT
ОБЗОР ТРАНЗАКЦИЙ С 1 недели назад
9.43M 0.124
Всего Среднее
транзакции продолжительность
САМЫЕ ПОПУЛЯРНЫЕ ОПЕРАЦИИ
WebTransaction/Go/POST/Calculate 2.74M Webtransaction/Go/POST/data 2.74M Webtransaction/Go/POST/batchgeo 1.05M Webtransaction/Go/GET/curencies 42.8K
ПРИЛОЖЕНИЕ 21.2
Каждое живое цифровое решение должно иметь панель мониторинга, которая отслеживает наиболее важные характеристики пользовательского опыта и производительности решения.
Глава 22. С самого начала создайте
для обеспечения безопасности и автоматизации
Почти все нарушения безопасности в облаке происходят из-за человеческих ошибок и неправильной конфигурации, а не из-за атак, нарушающих базовую облачную инфраструктуру.1 Облако требует безопасной конфигурации приложений и систем. Кроме того, традиционные механизмы кибербезопасности не рассчитаны на работу в требуемом темпе. В результате компаниям приходится применять новый подход к обеспечению безопасности, основанный на автоматизации.
Сдвиг влево в вопросах безопасности
"Сдвиг влево по безопасности" - это движение индустрии программного обеспечения, направленное на внедрение безопасности на более ранних этапах SDLC, а не на последнем (см. Рисунок 22.1). Этому есть два обоснования.
Во-первых, команды разработчиков быстрее решают проблемы безопасности в процессе написания кода. Любая проблема безопасности может быть решена agile-подразделением сразу же в процессе работы, не дожидаясь, пока она будет обнаружена позже (часто совершенно другой командой). Время цикла обнаружения и устранения проблем резко сокращается.
Во-вторых, каждый этап SDLC добавляет проверки безопасности в данный момент времени. Например, на этапе кодирования можно проверить уязвимости в сторонних компонентах, используемых при разработке. Если уязвимость будет обнаружена, это позволит команде найти альтернативные сторонние компоненты, которые можно использовать в качестве обходного пути.
Этот переход начинается с составления схемы ручного контроля и процессов управления, используемых для управления рисками и безопасностью на протяжении всего SDLC - как для инфраструктуры, так и для приложений. Сюда же относятся все обзоры рисков и безопасности. Как только это будет сделано, ищите инструменты и технологии, которые можно использовать для минимизации или устранения ручного (человеческого) контроля. Например, использование IaC (которые хранятся в системе контроля исходных текстов) дает дополнительное преимущество - возможность использовать инструменты для анализа уязвимостей безопасности или неправильной конфигурации до того, как они будут использованы другими командами. Статический анализ кода на IaC может гарантировать отсутствие уязвимостей в коде инфраструктуры (например, tfsec, checkov). Аналогично, многие команды используют модульные и многократно используемые компоненты с открытым исходным кодом для создания этих решений. Хотя открытый исходный код имеет много преимуществ, он также может создавать уязвимости безопасности, которые могут быть встроены в эти цифровые решения. Вы можете выявить и устранить эти уязвимые компоненты на ранних этапах SDLC с помощью таких инструментов, как Synk.
Повышение безопасности путем "сдвига влево"
От: Оставляем безопасность напоследок - Проверка безопасности после развертывания программного обеспечения
Тест
Пакет
Построить
Развернуть
Безопасность
Работайте на сайте
Код
Обнаружение проблем безопасности на ранней стадии может иметь большие репутационные и финансовые последствия
Для: "Смещение влево" в вопросах безопасности - проверки и процедуры безопасности включены в каждый этап SDLC
Безопасность
Развернуть
Работайте на сайте
Тест
Безопасность
Безопасность
Пакет
Безопасность
Безопасность
Построить
Код
Заблаговременное устранение последствий может помочь избежать катастрофических проблем в дальнейшем
ПРИЛОЖЕНИЕ 22.1
Внедрение безопасности в SDLC с помощью DevSecOps
