在DevOps各个阶段融入安全活动
编码阶段,制定内部安全编码规范并输出安全组件库,用于指导开发人员进行安全编码,同时通过SCA产品对第三方组件库进行梳理与安全检查;构建阶段控制代码运行环境的安全性,例如对容器、第三方组件库等进行安全检测;测试阶段,通过雳鉴IAST和人工渗透执行安全测试;预发布阶段重点关注主机层安全问题和容器安全问题;发布阶段关注漏洞处理结果评估和安全评审;线上运维阶段,针对性地进行资产安全风险巡检、异常行为检测和安全防护。同时在DevSecOps的所有阶段执行漏洞追踪管理,例如引入支持DevOps集成的雳鉴研发安全管理平台。