将这些政策作为代码的目的不仅仅是获取政策,软件和数据,但是自动化安全在整个企业中一致的应用程序和应用软件工程实践——例如,保持代码置于版本控制之下,观察和监视策略操作。
这使企业能够自动化其安全策略,增加对中断和威胁的保护。
将安全策略(如数据访问)捕获为代码,然后可以在软件交付生命周期中对其进行测试和自动化。
它是什么?
随着技术环境变得越来越复杂,自动化和工程实践可以帮助企业保持安全。作为代码的安全策略将安全策略(例如访问控制)编码到位,以便可以将策略视为测试。
这意味着,当您的软件团队编写代码时,他们可以使用这些策略作为代码测试,以验证他们的代码是安全的——如果不是,可以采取步骤纠正这一点。采用这种方法,您的团队可以确信任何投入生产的代码都遵循您的安全策略。
而且由于您的安全策略被视为代码,您应该对它们应用工程实践——例如版本控制,并观察和监视它们的性能。
你怎么了?
作为代码的安全策略可以提高您在日益复杂和快速移动的环境中保持安全的能力。您可以确保所有生产系统的访问控制等策略需求是健壮的和最新的。
此外,由于您能够自动进行更多的安全测试,您训练有素的安全专家能够集中精力识别和纠正难以发现的边缘情况。
权衡是什么?
对于许多团队和组织来说,将安全作为开发过程的一部分是一个巨大的变化——它带来了文化上的变化,对于那些习惯于在竖井中工作的企业来说,这是很难的。使用红色、蓝色、紫色的安全团队和结构可以帮助缓解这些权衡。
它是如何被使用的?
作为代码的安全策略正越来越多地被采用为企业安全实践的一部分。支持它的工具正在成熟,我们已经看到许多团队在使用它时取得了巨大的成功。在敏捷生命周期中,它与DevOps结合在一起,创建了一个名为SecDevOps的组合管道。
你想建议一个需要解码的话题吗?
请留下您的电子邮件地址,一旦准备好了,我们会与您联系的。
