コミュニティ
学ぶ
ツールライブラリ
AIツール
レジャー
検索
日本語
ホームページ 運用・保守 安全性 安全な開発実践原則

安全な開発実践原則

王林
王林
Nov 26, 2019 pm 05:59 PM
原則として 安全な開発 練習する

安全な開発実践原則

今日、情報化の深化に伴い、セキュリティの脅威の破壊力は前例のない速度で増大しており、デジタル ビジネスの拡大と構築は通常、攻撃対象領域の拡大につながります。現在および将来のセキュリティ脅威に対処するには、従来のセキュリティ製品への投資だけでは不十分であり、セキュリティ製品の購入に加え、セキュリティ意識の向上とセキュリティプロセスの構築が重要です。

さまざまなセキュリティ構築計画において、「セキュリティ機能の前倒し」は明らかな傾向です。建設時に基礎が不安定で、壁が弱く、床が崩れた家が完成後に数本の柱で支えられないのと同じで、安全な開発プロセスが適用されなければ、後の運用で抜け穴だらけになることは避けられません。 。

私たちは、安全な開発実践には次の 5 つの重要な原則があると考えています:

1. セキュリティ トレーニング

安全スキル トレーニングは、開発の橋渡しをするために非常に重要です。技術的能力のギャップと、製品ライフサイクルのあらゆる段階でのセキュリティの管理が重要です。企業は、安全にコーディングする開発者の意識と能力を向上させ、ビジネス チームとセキュリティ チーム間の効率的なコラボレーションに不可欠なセキュリティ部門による推奨事項とアクションを理解するために、セキュリティ意識とセキュリティ スキル トレーニングに明示的に投資する必要があります。重要。

SANS Institute のセキュリティ状況レポートによると、2016 年の時点で、調査対象となった米国の企業サンプルの半数以上が、セキュリティ トレーニングを企業の主な業務の 1 つとしていました。今日に至るまで、安全トレーニングの重要性を理解している中国企業はほんの一握りであり、トレーニングの意図をトレーニングの行動に変えることができる企業はさらに少ない。

2. セキュアなアプリケーション開発

現在、アプリケーションのセキュリティは企業の幅広い関心を集めています。開発のセキュリティを確保するには、2 つの重要な実践的な方法があります。

(1) セキュリティを中心としたプロセス フレームワークを使用します。

(2) セキュリティ チームからのフィードバックを開発者のワークフローに組み込み、反復サイクルごとにデモ レビューを行います。

プロセス フレームワークについては、ベスト プラクティス、ソフトウェア ライブラリ、標準、および組織の業界固有の規制に基づいて、実証済みのセキュリティに重点を置いた適切なフレームワークを選択するのが最善であると考えています。次の 2 つのよく知られたフレームワークは、開発組織をガイドし、適用可能なリソースを提供するルール、テクニック、プロセスを集めたものです。さまざまな懸念がありますが、それらはすべて基本的に安全志向です。

Microsoft セキュリティ開発ライフサイクル (SDL) : このプロセスは、既存の DevOps 環境によく適合し、プロセス全体にわたってセキュリティを適切に統合する、より一般的な構造を提供します。私たちの経験では、特定のコード タイプや動作環境に限定されません。

オープン ソース Web アプリケーション セキュリティ プロジェクト (OWASP): このコミュニティ Web サイトは、脆弱性、関連する影響、リスクに関するデータと、安全な Web アプリケーションの開発と検出のためのベスト プラクティス ガイダンスを提供します。 。

企業は、セキュリティ チームを開発プロセスに積極的に参加させて早期にフィードバックを取得し、開発ワークフローや反復的なプロトタイプ デモ全体にフィードバックを組み込む必要があります。この利点は、チームが開発段階でセキュリティ リスクに同時に対処できるため、開発プロセスにコストのかかるリスクが持ち込まれることを回避できることです。

製品の運用・保守段階では、開発段階に比べてリスクを排除するためのコストが少なくとも数十倍かかります。しかし、多くの開発チームはセキュリティ チームとの共同作業に慣れていません。最初の一歩を踏み出し、粘り強く続けることが重要です。最終的には、セキュリティ ベースの開発ワークフローがセキュリティ戦略全体において大きな利点となります。

3. セキュリティ DevOps=DevSecOps

DevSecOps は、セキュリティを DevOps ワークフローに完全に統合することで、統合されたプロセスを作成する新たなトレンドです。 DevOpsが開発と運用保守の問題を同時に解決するために提案されたように、今ではセキュリティの問題も同時に解決する必要があります。

セキュリティ DevOp または DevSecOps には、各段階の作業内容を拡張してセキュリティ要素を含めるだけでなく、段階を超え、部門を超えたトレーニングも含まれます。開発プロセスが完了していることを確認し、コーディング中のリスクを軽減します。

4. アプリケーション セキュリティ テスト (AST)

継続的なテストは非常に重要であり、アプリケーション セキュリティ テスト (AST) ツールはすべての開発者の必需品となるはずです。ツールチェーン、機器のコンポーネント。現在、オープンソース ツールを含め、多くの優れたツールが利用可能です。アプリケーションのセキュリティ テスト ツールを検討する場合、コード インストルメンテーションの手順とプロセスを最適化するために使用するツールのセットを事前に決定することをお勧めします。そうしないと、ツールがコードを完全かつ効率的に計測できない可能性があります。

AST ツールは、いくつかの基本カテゴリに分類されます。

(1) 静的アプリケーション セキュリティ テスト (SAST)

(2) 動的アプリケーション セキュリティ テスト (DAST)

(3) インタラクティブ アプリケーション セキュリティ テスト (IAST)

Gartner の 2017 年のレポートでは、「アプリケーションを開発しているほとんどの企業は、何らかの形式の AST を採用しています。しかし、テクノロジーが異なれば成熟度レベルも異なります。DAST##」と述べられています。 # および #SAST は現在最も広く使用されている製品タイプですが、IAST に対する市場の需要は急速な成長を示しています。」

5. 継続的な監視と分析

継続的な監視と分析は、運用および保守フェーズ中にアプリケーションを保護するのに役立ちます。モニタリングから継続的にフィードバックを取得し、開発プロセスにフィードバックします。運用および保守フェーズの監視と分析の適用は基本的な常識的な操作であり、企業に貴重な情報とデータを提供し、潜在的な抜け穴を阻止し、潜在的なリスクを軽減するのに役立ちます。

開発セキュリティなしでは運用および保守フェーズのセキュリティを実現できないのと同様に、開発セキュリティも運用および保守のセキュリティと独立して実現することはできません。フィードバック メカニズムのないプロセスは、明らかに良いプロセスではありません。

おすすめの関連記事: Web セキュリティ チュートリアル

以上が安全な開発実践原則の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

Video Face Swap

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

もっと見る

人気の記事

アサシンのクリードシャドウズ:シーシェルリドルソリューション
3週間前 By DDD
Windows11 KB5054979の新しいものと更新の問題を修正する方法
3週間前 By DDD
Atomfallのクレーンコントロールキーカードを見つける場所
3週間前 By DDD
<🎜>:Dead Rails-すべての課題を完了する方法
4週間前 By DDD
Atomfall Guide:アイテムの場所、クエストガイド、およびヒント
1 か月前 By DDD
もっと見る

ホットツール

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

もっと見る

ホットトピック

Gmailメールのログイン入り口はどこですか?
7690
15
Java チュートリアル
1639
14
CakePHP チュートリアル
1393
52
Laravel チュートリアル
1287
25
PHP チュートリアル
1229
29
もっと見る
Related knowledge
Outlook がカレンダーにイベントを自動的に追加しないようにする方法 Outlook がカレンダーにイベントを自動的に追加しないようにする方法 Feb 26, 2024 am 09:49 AM

電子メール マネージャー アプリケーションとして、Microsoft Outlook を使用すると、イベントや予定をスケジュールできます。 Outlook アプリケーションでこれらのアクティビティ (イベントとも呼ばれます) を作成、管理、追跡するためのツールを提供することで、組織的な状態を維持できるようになります。ただし、Outlook の予定表に不要なイベントが追加される場合があり、ユーザーが混乱したり、予定表にスパムが送信されたりすることがあります。この記事では、Outlook が予定表にイベントを自動的に追加しないようにするために役立つさまざまなシナリオと手順を説明します。 Outlook イベント – 簡単な概要 Outlook イベントには複数の目的があり、次のような多くの便利な機能があります。 カレンダーの統合: Outlook 内

Dreamweaver CMS ステーションのグループ練習の共有 Dreamweaver CMS ステーションのグループ練習の共有 Mar 18, 2024 am 10:18 AM

Dream Weaver CMS Station グループ実践共有 近年、インターネットの急速な発展に伴い、Webサイト構築の重要性がますます高まっています。複数の Web サイトを構築する場合、サイト グループ テクノロジは非常に効果的な方法となっています。数多くの Web サイト構築ツールの中でも、Dreamweaver CMS は、その柔軟性と使いやすさにより、多くの Web サイト愛好家にとって最初の選択肢となっています。この記事では、Dreamweaver CMS ステーション グループに関するいくつかの実践的な経験と、いくつかの具体的なコード例を共有し、ステーション グループ テクノロジを研究している読者に何らかの助けとなることを願っています。 1. Dreamweaver CMS ステーション グループとは何ですか?ドリームウィーバーCMS

Struts フレームワークの原則と実践についての深い議論 Struts フレームワークの原則と実践についての深い議論 Feb 18, 2024 pm 06:10 PM

Struts フレームワークの原理分析と実践的な調査 JavaWeb 開発で一般的に使用される MVC フレームワークとして、Struts フレームワークは優れた設計パターンとスケーラビリティを備えており、エンタープライズ レベルのアプリケーション開発で広く使用されています。この記事では、Struts フレームワークの原理を分析し、読者がフレームワークをよりよく理解して適用できるように、実際のコード例を使用してそれを検討します。 1. Struts フレームワークの原理の分析 1. MVC アーキテクチャ Struts フレームワークは MVC (Model-View-Con) に基づいています。

PHP コーディングの実践: Goto ステートメントの代替手段の拒否 PHP コーディングの実践: Goto ステートメントの代替手段の拒否 Mar 28, 2024 pm 09:24 PM

PHP コーディングの実践: Goto ステートメントの代替手段の使用の拒否 近年、プログラミング言語の継続的な更新と反復により、プログラマーはコーディング仕様とベスト プラクティスにより多くの注意を払い始めています。 PHP プログラミングでは、制御フロー ステートメントとして goto ステートメントが長い間存在していましたが、実際のアプリケーションではコードの可読性と保守性の低下につながることがよくあります。この記事では、開発者が goto ステートメントの使用を拒否し、コードの品質を向上させるのに役立ついくつかの代替案を紹介します。 1. なぜ goto ステートメントの使用を拒否するのですか?まず、その理由を考えてみましょう

Golang を使用したトラフィック管理のベスト プラクティス Golang を使用したトラフィック管理のベスト プラクティス Mar 07, 2024 am 08:27 AM

Golang は、Web サービスやアプリケーションの構築に広く使用されている強力で効率的なプログラミング言語です。ネットワーク サービスでは、トラフィック管理は重要な部分であり、ネットワーク上のデータ送信を制御および最適化し、サービスの安定性とパフォーマンスを確保するのに役立ちます。この記事では、Golang を使用したトラフィック管理のベスト プラクティスを紹介し、具体的なコード例を示します。 1. 基本的なトラフィック管理に Golang の net パッケージを使用する Golang の net パッケージは、ネットワーク データを処理する方法を提供します。

C++ リフレクション メカニズムの実践: 柔軟なランタイム型情報の実装 C++ リフレクション メカニズムの実践: 柔軟なランタイム型情報の実装 Nov 27, 2023 pm 01:11 PM

C++ リフレクション メカニズムの実践: 柔軟なランタイム型情報の実装 はじめに: C++ は厳密に型指定された言語であり、他の言語のようにクラス型情報を取得するためのリフレクション メカニズムを直接提供しません。ただし、いくつかのトリックと技術的手段を使えば、同様のリフレクション関数を C++ でも実現できます。この記事では、テンプレートのメタプログラミングとマクロ定義を活用して、柔軟なランタイム型情報を実現する方法について説明します。 1. 反映メカニズムとは何ですか?リフレクション メカニズムとは、クラス名、メンバー関数、メンバー変数、その他の属性など、実行時にクラスの型情報を取得することを指します。

実践的なチュートリアル: Vue3+Django4 の新しい技術実践 実践的なチュートリアル: Vue3+Django4 の新しい技術実践 Sep 09, 2023 am 08:52 AM

実践的なチュートリアル: Vue3+Django4 の新しい技術実践 はじめに: フロントエンド テクノロジの継続的な開発により、Vue.js は最も人気のあるフロントエンド フレームワークの 1 つになりました。 Django は、強力で柔軟な Python Web フレームワークとして、開発者にも好まれています。この記事では、Vue3 と Django4 を組み合わせて新しい技術実践を実現する方法を説明します。 1. 環境のセットアップ: まず、開発環境をセットアップする必要があります。コンピュータに最新バージョンの N がインストールされていることを確認してください

PyCharm を使用したリモート開発の実践的なガイド PyCharm を使用したリモート開発の実践的なガイド Feb 25, 2024 pm 07:18 PM

リモート開発に PyCharm を使用することは、開発者がローカル環境のリモート サーバーでコードを簡単に編集、デバッグ、実行できるようにする効率的な方法です。この記事では、リモート開発の実践に PyCharm を使用する方法を紹介し、それを具体的なコード例と組み合わせて、読者がこのテクノロジーをより深く理解し、適用できるようにします。 PyCharm とはPyCharm は、JetBrains によって開発された Python 統合開発環境 (IDE) であり、役立つ豊富な機能とツールを提供します。

See all articles