昨晚20:00,FreeBuf与 阿里安全 合作公开课《 传统SDL已过时,如何用安全基建理念打造新一代泛应用安全体系 》准时上线啦~
本次与我们进行分享的讲师是 阿里安全资深安全专家铁花 老师。铁花老师虽是行业大牛,但讲课时却是循循善诱、深入浅出,专业与生动兼备,深度和趣味俱全 (为铁花老师疯狂打call!) ,即便是小编这样的行业萌新也能“轻松上车”。接下来,小编就将自己精心梳理的课堂笔记分享给大家!
研发背景——持续的混部情况
随着云技术的成熟应用推广,云基础设施的广泛应用已成为业内的大势所趋。但是,很多企业转型拥抱云基础、云技术的同时仍抱有自研IDC,当前应用部署处在一个混部的情况下,并且这个情况将持续较长时间。
挑战——技术与业务的双重压力
在新环境下,企业安全建设面临着许多新的挑战。技术上来说,新应用的云基础设施是否可信?是否能满足自身企业的安全需求?软件供应链如何管理?新技术平台的应用产生的新风险如何应对?从业务角度出发,非技术性的安全问题如何在研发环节进行杜绝?合规类的需求怎样满足?
应对方法——“三管齐下”
在软件供应链管理上,第一步需要抓生产资料、生产基础的安全保障,当我们的应用的建设基础生产资料都是安全的,才有可能做出相对安全的应用。
在过程管理及卡口上,保障好生产资料后,需要严格把握每个过程,并在关键节点设定卡口。
另外,还要做到应用可信。假设在应用产生过程中从生产资料到生产过程我们都做到了完美,但是仍然不能避免会有遗漏和0day的出现,这就要求我们的应用在运行时必须是有一定的防御能力并且环境是可信的。
新基建,新体系——围绕安全基建打造企业新一代安全架构
针对种种新挑战、新难题,阿里发布了数字基建的新一代安全架构,主要有三层:安全运营、安全基建与安全技术。新一代泛应用安全体系,也就是安全基建具体展开后如下图:
不过,再完备的笔记也比不过铁花老师的精彩课堂,更多的讲解与细节,都将在完整公开课中独家放送!