基于DevSecOps的铁路应用交付平台技术研究 被引量：1

1

作者 于建荣 《铁路计算机应用》 2025年第2期54-58,共5页

为提高铁路软件应用交付效率和应用安全管理水平,设计并实现了基于DevSecOps的铁路应用交付平台,阐述了该平台的架构,以及基于DevSecOps的安全交付技术和云原生安全生态工具整合技术,实现了应用管理、应用部署管理、数据分析、平台管理... 为提高铁路软件应用交付效率和应用安全管理水平,设计并实现了基于DevSecOps的铁路应用交付平台,阐述了该平台的架构,以及基于DevSecOps的安全交付技术和云原生安全生态工具整合技术,实现了应用管理、应用部署管理、数据分析、平台管理等功能。实践表明,该平台的应用提高了铁路应用研发的工作效率,减少了应用的安全威胁,为铁路数字化转型提供技术支撑。 展开更多

关键词 云原生 云计算 devsecops 安全生态工具 应用交付

在线阅读 下载PDF 职称材料

基于DevSecOps的开发运维一体化平台设计

2

作者 吴成方 张磊 +3 位作者 吕睿 李士宽 鹿全礼 张建成 《价值工程》 2025年第33期159-161,共3页

近年来,各种类型的信息安全事件层出不穷,安全事件的发生严重影响了系统的正常运行,DevSecOps作为DevOps的安全实践,可以在软件开发生命周期的每个阶段自动集成安全性,从而最大程度地保证了系统的安全运行。为了实现开发、安全、运维一... 近年来,各种类型的信息安全事件层出不穷,安全事件的发生严重影响了系统的正常运行,DevSecOps作为DevOps的安全实践,可以在软件开发生命周期的每个阶段自动集成安全性,从而最大程度地保证了系统的安全运行。为了实现开发、安全、运维一体化的操作,基于DevSecOps设计了开发运维一体化平台,该平台无缝集成了安全管理过程和软件构建、部署、操作和维护过程,对提高企业研发效率、实现安全防护自动化具有重要意义。 展开更多

关键词 devsecops DevOps 一体化 安全防护

在线阅读 下载PDF 职称材料

Sher: A Secure Broker for DevSecOps and CI/CD Workflows 被引量：1

3

作者 Pranau Kumar Vijay K. Madisetti 《Journal of Software Engineering and Applications》 2024年第5期321-339,共19页

GitHub Actions, a popular CI/CD platform, introduces significant security challenges due to its integration with GitHub’s open ecosystem and its use of flexible workflow configurations. This paper presents Sher, a Py... GitHub Actions, a popular CI/CD platform, introduces significant security challenges due to its integration with GitHub’s open ecosystem and its use of flexible workflow configurations. This paper presents Sher, a Python-based tool that enhances the security of GitHub Actions by automating the detection and remediation of security issues in workflows. Self-Hosted Ephemeral Runner, or Sher, acts as a broker between GitHub’s APIs and a customizable, isolated environment, analyzing workflows through a static rules engine and automatically fixing identified issues. By providing a secure, ephemeral runner environment and a dynamic analysis tool, Sher addresses common misconfigurations and vulnerabilities, contributing to the resilience and integrity of DevSecOps practices within software development pipelines. 展开更多

关键词 CI/CD Pipelines GitHub GitOps devsecops ISOLATION Security SAST

在线阅读 下载PDF 职称材料

基于DevSecOps的数字化转型探索与实践 被引量：1

4

作者 赵汉杰 项文秀 +2 位作者 宋宁 陆绍益 布文秀 《中国金融电脑》 2024年第2期76-79,共4页

随着数字化转型的持续推进,银行面临着来自新渠道、新模式的各种安全威胁和风险挑战。为进一步提升安全合规能力,邮储银行开展DevSecOps实践探索,有效强化了数据安全、供应链安全、基础设施安全等管理能力。本文结合管理制度、工具链、... 随着数字化转型的持续推进,银行面临着来自新渠道、新模式的各种安全威胁和风险挑战。为进一步提升安全合规能力,邮储银行开展DevSecOps实践探索,有效强化了数据安全、供应链安全、基础设施安全等管理能力。本文结合管理制度、工具链、指标体系建设等维度,详细介绍了邮储银行构建全流程安全支撑体系的方法和路径,并阶段性总结了试点落地成效。 展开更多

关键词 devsecops 安全效能提升 自动化安全测试 研发安全治理

在线阅读 下载PDF 职称材料

基于DevSecOps的研发体系探索与实践 被引量：1

5

作者 陈雪勇 于伟涛 张丹吉 《江苏通信》 2024年第6期44-48,共5页

随着数字化时代的飞速发展,软件安全与研发效率成为企业竞争力的核心要素。本文探讨了基于DevSecOps(Development Security Operations,集开发、安全与运维一体化)的研发体系,在坚实的理论基础上阐述了研发体系的构建过程,包括流程优化... 随着数字化时代的飞速发展,软件安全与研发效率成为企业竞争力的核心要素。本文探讨了基于DevSecOps(Development Security Operations,集开发、安全与运维一体化)的研发体系,在坚实的理论基础上阐述了研发体系的构建过程,包括流程优化、安全工具集成和团队组织等方面,并通过实践验证了该体系在研发中的有效性,为企业研发工作提供更安全、更高效的解决方案。 展开更多

关键词 devsecops 研发体系 开发安全

在线阅读 下载PDF 职称材料

DevSecOps中软件安全性测试技术综述

6

作者 刘羿希 何俊 +2 位作者 吴波 刘丙童 李子玉 《计算机应用》 CSCD 北大核心 2024年第11期3470-3478,共9页

软件安全性测试技术是互联网时代软件开发商完善软件性能和抵御网络攻击的重要手段,而将安全性(Security)融入开发(Development)和运维(Operations)过程中的理念DevSecOps作为新一代软件开发模式,能够识别软件可能存在的威胁和有效评估... 软件安全性测试技术是互联网时代软件开发商完善软件性能和抵御网络攻击的重要手段,而将安全性(Security)融入开发(Development)和运维(Operations)过程中的理念DevSecOps作为新一代软件开发模式,能够识别软件可能存在的威胁和有效评估软件安全性,可将软件安全风险置于可控范围内。于是,以DevOps(Development and Operations)流程为研究起点,梳理DevOps软件开发模式各阶段涉及的软件安全性测试技术,包括源代码审计、模糊测试、漏洞扫描、渗透测试和安全众测技术;收集和分析SCI、EI、SCOPUS、CNKI、CSCD和万方等知名索引库中近三年的相关文献资料,归纳总结以上技术的研究现状,并给出相关测试工具的使用建议;同时针对各技术支撑手段的优缺点,对软件开发模式DevSecOps的未来发展方向进行了展望。 展开更多

关键词 devsecops 软件安全性测试 模糊测试 漏洞扫描 渗透测试

在线阅读 下载PDF 职称材料

DevSecOps:DevOps下实现持续安全的实践探索 被引量：18

7

作者 戴启铭 毛润丰 +3 位作者 黄璜 荣国平 沈海峰 邵栋 《软件学报》 EI CSCD 北大核心 2021年第10期3014-3035,共22页

国内外各大软件企业正广泛实施DevOps相关实践,以提高产品交付和部署频率.与此同时,面对日益严峻的网络安全环境,软件系统中的安全问题日益凸显.耗时的安全实践因为快速交付,在软件开发活动中难以得到有效贯彻.也正因如此,在开发和运维... 国内外各大软件企业正广泛实施DevOps相关实践,以提高产品交付和部署频率.与此同时,面对日益严峻的网络安全环境,软件系统中的安全问题日益凸显.耗时的安全实践因为快速交付,在软件开发活动中难以得到有效贯彻.也正因如此,在开发和运维流程中有效集成安全控制手段,实现整个软件生命周期的持续安全,已成为各大企业向DevOps转型过程中亟需思考的问题.DevSecOps作为在DevOps下持续解决安全问题的有效方案,因此而受到学术界和工业界的广泛关注,并逐渐成为软件工程领域的研究重点.近年来,随着DevSecOps的研究和实践发展,人们对DevSecOps有了更全面的认识,也引入了更多安全实践.为此,从DevSecOps的背景、特征、实践、裨益和挑战这5个方面进行了归纳和总结,首次向国内软件工程社区全面介绍DevSecOps的核心内容,重点阐述了DevSecOps最新的理论研究和工业界实践现状,进而为从业者实际落地DevSecOps提供参考,也为研究者探索DevSecOps提供便利,并呼吁更多的研究者参与到DevSecOps的研究中来. 展开更多

关键词 DevOps安全 devsecops 持续安全 devsecops实践

在线阅读 下载PDF 职称材料

基于DevSecOps的软件供应链安全治理技术简析 被引量：3

8

作者 张小梅 苏俐竹 《邮电设计技术》 2022年第9期13-18,共6页

研究了软件供应链的安全治理技术,解决软件供应链所面临的安全风险,构建软件供应链安全治理体系,形成业务应用软件设计、编码、测试、运营全生命周期的防护方案,实现对软件全流程链条的安全治理,提升应用系统的自身免疫力。

关键词 devsecops 软件供应链 应用自保护

在线阅读 下载PDF 职称材料

代码疫苗技术在DevSecOps体系下的实践 被引量：1

9

作者 董毅 《中兴通讯技术》 2022年第6期42-47,共6页

安全工具在帮助开发人员构建安全软件方面发挥着至关重要的作用。然而,在不影响DevOps部署速度或交付频率的情况下,引入和充分利用安全工具是具有挑战性的。通过分析当下传统安全工具存在的问题,提出了目前已成功应用于交互式应用安全测... 安全工具在帮助开发人员构建安全软件方面发挥着至关重要的作用。然而,在不影响DevOps部署速度或交付频率的情况下,引入和充分利用安全工具是具有挑战性的。通过分析当下传统安全工具存在的问题,提出了目前已成功应用于交互式应用安全测试(IAST)工具和运行时应用自保护(RASP)工具的代码疫苗技术。阐述了代码疫苗技术在DevSecOps体系下的实践,并以Log4j2组件的远程代码执行漏洞的防护为例,梳理了代码疫苗技术的防护流程。 展开更多

关键词 devsecops 代码疫苗技术 RASP IAST DevOps

在线阅读 下载PDF 职称材料

网络安全新思路 从DevOps到DevSecOps 被引量：5

10

作者 车昕 《通信世界》 2019年第25期45-48,共4页

持续且专注的自动化安全对DevSecOps的实现至关重要。将安全自动化融入到软件开发的生命周期中,通过自动化的方式减少安全漏洞检测和响应的时间,降低成本的同时也提高了应用程序的安全性,从而加速产品的交付速度。

关键词 持续交付 安全检查 流水线 安全漏洞 应用程序 网络安全 devsecops 渗透测试 DevOps 攻击者 代码评审

在线阅读 下载PDF 职称材料

浅谈DevSecOps如何赋能油田企业应用开发安全体系 被引量：2

11

作者 于露 邹蕾 +1 位作者 张飞 黄天辉 《信息系统工程》 2022年第5期32-35,共4页

近年来,信息化建设与智能化改造在油田企业中不断发展与推进,自动化与智能化深入到油田业务的方方面面,在伴随企业经济效益得到迅速改善,工作效率得到明显提升的同时,如何快速解决网络安全问题与更好构建安全开发体系成为油田企业面临... 近年来,信息化建设与智能化改造在油田企业中不断发展与推进,自动化与智能化深入到油田业务的方方面面,在伴随企业经济效益得到迅速改善,工作效率得到明显提升的同时,如何快速解决网络安全问题与更好构建安全开发体系成为油田企业面临的重大课题。为提高油田业务系统的敏捷交付能力,亟需一种新的开发模式来解决智能化发展与油田企业信息化现状不匹配的困境。DevSecOps作为新兴起的安全开发模式开始涉足油田企业应用开发领域。研究表明,基于DevSecOps赋能油田企业应用开发安全体系可以改进开发流程,降低安全修复成本80%,开发周期同比缩短50%。 展开更多

关键词 devsecops 智能油田 安全开发

在线阅读 下载PDF 职称材料

DevSecOps的未来

12

作者 Gunter Ollmann 本刊编辑部(编译) 《网络安全和信息化》 2020年第4期112-113,共2页

RSAC期间举办的创新沙盒竞赛历来是安全圈里的热点,尽管DevSecOps出现已有几年的时间,但在今年的RSAC上,DevSecOps再次成为焦点。如果说DevOps代表了人员、流程与技术的组合,以不断为客户提供价值.

关键词 工作流程 安全运营 devsecops 应用安全 安全部署 攻击者 人工智能技术

在线阅读 下载PDF 职称材料

美国防软件工厂发展现状 被引量：1

13

作者 曹远 刘家智 +2 位作者 黄友 程勇 钱悦 《国防科技》 2025年第2期113-120,共8页

以美海军、陆军、空军、海军陆战队4个军种作为切入点,全面介绍美国防软件工厂的发展历程,包括背景意义、建设实例、应用效果、面临挑战和借鉴启示。剖析上述4个军种建设软件工厂背后的逻辑,阐述四大军种建设软件工厂的典型代表、具体... 以美海军、陆军、空军、海军陆战队4个军种作为切入点,全面介绍美国防软件工厂的发展历程,包括背景意义、建设实例、应用效果、面临挑战和借鉴启示。剖析上述4个军种建设软件工厂背后的逻辑,阐述四大军种建设软件工厂的典型代表、具体优势以及各个军种软件工厂的具体功能。厘清美国防软件工厂建设过程中的难点问题及底层逻辑、应对措施等,可为军用软件开发提供新的思路。 展开更多

关键词 软件工厂 美军 软件工程 devsecops

在线阅读 下载PDF 职称材料

美军软件工厂关键技术分析及启示 被引量：1

14

作者 杨胜蓝 邓家磊 +1 位作者 黄太奇 吴姗姗 《指挥信息系统与技术》 2025年第1期1-8,14,共9页

美军软件工厂被视为美军数字化转型和现代化战略的重要组成部分。首先,介绍了美军软件工厂的发展历程和现状,并详细分析了军用软件工厂的核心使用模式和参考架构;其次,围绕提升软件生产效率这一核心目标,对军用软件工厂中关键技术开展分... 美军软件工厂被视为美军数字化转型和现代化战略的重要组成部分。首先,介绍了美军软件工厂的发展历程和现状,并详细分析了军用软件工厂的核心使用模式和参考架构;其次,围绕提升软件生产效率这一核心目标,对军用软件工厂中关键技术开展分析,包括基础设施即代码、云原生应用开发、基于数字孪生的软件验证、全景化智能运维监控、软件资源分配和动态调度技术;最后,对军用软件工厂的发展趋势和启示做出总结,以期为未来我军软件工厂的建设发展提供重要的参考。 展开更多

关键词 美军软件工厂 devsecops流程 云原生应用

在线阅读 下载PDF 职称材料

嵌入式系统软件工厂化设计 被引量：2

15

作者 陈聪 黄鹏 高雅濛 《航空计算技术》 2025年第1期98-102,共5页

随着软件技术发展,嵌入式软件在科技领域应用地位和作用愈发重要,为保障软件研发能够更高效率、更高质量、更安全,提出一种嵌入式系统软件工厂化设计方案。针对于嵌入式软件特点,结合DevOps和DevSecOps理念,将整个嵌入式软件研发过程进... 随着软件技术发展,嵌入式软件在科技领域应用地位和作用愈发重要,为保障软件研发能够更高效率、更高质量、更安全,提出一种嵌入式系统软件工厂化设计方案。针对于嵌入式软件特点,结合DevOps和DevSecOps理念,将整个嵌入式软件研发过程进行工程化、自动化、标准化和安全化。通过文化、理念认可,结合工具的选取和使用,构建自动化的软件研发流程,实现智能化、可视化数据度量,并且结合GJB5000B体系要求,实现整体化云原生平台。 展开更多

关键词 devsecops 软件工厂 嵌入式 DevOps 软件工程

在线阅读 下载PDF 职称材料

Review of Techniques for Integrating Security in Software Development Lifecycle

16

作者 Hassan Saeed Imran Shafi +3 位作者 Jamil Ahmad Adnan Ahmed Khan Tahir Khurshaid Imran Ashraf 《Computers, Materials & Continua》 SCIE EI 2025年第1期139-172,共34页

Software-related security aspects are a growing and legitimate concern,especially with 5G data available just at our palms.To conduct research in this field,periodic comparative analysis is needed with the new techniq... Software-related security aspects are a growing and legitimate concern,especially with 5G data available just at our palms.To conduct research in this field,periodic comparative analysis is needed with the new techniques coming up rapidly.The purpose of this study is to review the recent developments in the field of security integration in the software development lifecycle(SDLC)by analyzing the articles published in the last two decades and to propose a way forward.This review follows Kitchenham’s review protocol.The review has been divided into three main stages including planning,execution,and analysis.From the selected 100 articles,it becomes evident that need of a collaborative approach is necessary for addressing critical software security risks(CSSRs)through effective risk management/estimation techniques.Quantifying risks using a numeric scale enables a comprehensive understanding of their severity,facilitating focused resource allocation and mitigation efforts.Through a comprehensive understanding of potential vulnerabilities and proactive mitigation efforts facilitated by protection poker,organizations can prioritize resources effectively to ensure the successful outcome of projects and initiatives in today’s dynamic threat landscape.The review reveals that threat analysis and security testing are needed to develop automated tools for the future.Accurate estimation of effort required to prioritize potential security risks is a big challenge in software security.The accuracy of effort estimation can be further improved by exploring new techniques,particularly those involving deep learning.It is also imperative to validate these effort estimation methods to ensure all potential security threats are addressed.Another challenge is selecting the right model for each specific security threat.To achieve a comprehensive evaluation,researchers should use well-known benchmark checklists. 展开更多

关键词 Software development lifecycle systematic literature review critical software security risks national institute of standards and technology devsecops open web application security project McGraw’s touch points

在线阅读 下载PDF 职称材料

Secure Development Methodology for Full Stack Web Applications:Proof of the Methodology Applied to Vue.js,Spring Boot and MySQL

17

作者 Kevin Santiago Rey Rodriguez Julián David Avellaneda Galindo +3 位作者 Josep Tárrega Juan Juan Ramón Bermejo Higuera Javier Bermejo Higuera Juan Antonio Sicilia Montalvo 《Computers, Materials & Continua》 2025年第10期1807-1858,共52页

In today’s rapidly evolving digital landscape,web application security has become paramount as organizations face increasingly sophisticated cyber threats.This work presents a comprehensive methodology for implementi... In today’s rapidly evolving digital landscape,web application security has become paramount as organizations face increasingly sophisticated cyber threats.This work presents a comprehensive methodology for implementing robust security measures in modern web applications and the proof of the Methodology applied to Vue.js,Spring Boot,and MySQL architecture.The proposed approach addresses critical security challenges through a multi-layered framework that encompasses essential security dimensions including multi-factor authentication,fine-grained authorization controls,sophisticated session management,data confidentiality and integrity protection,secure logging mechanisms,comprehensive error handling,high availability strategies,advanced input validation,and security headers implementation.Significant contributions are made to the field of web application security.First,a detailed catalogue of security requirements specifically tailored to protect web applications against contemporary threats,backed by rigorous analysis and industry best practices.Second,the methodology is validated through a carefully designed proof-of-concept implementation in a controlled environment,demonstrating the practical effectiveness of the security measures.The validation process employs cutting-edge static and dynamic analysis tools for comprehensive dependency validation and vulnerability detection,ensuring robust security coverage.The validation results confirm the prevention and avoidance of security vulnerabilities of the methodology.A key innovation of this work is the seamless integration of DevSecOps practices throughout the secure Software Development Life Cycle(SSDLC),creating a security-first mindset from initial design to deployment.By combining proactive secure coding practices with defensive security approaches,a framework is established that not only strengthens application security but also fosters a culture of security awareness within development teams.This hybrid approach ensures that security considerations are woven into every aspect of the development process,rather than being treated as an afterthought. 展开更多

关键词 Web security methodology secure software development lifecycle devsecops security requirements secure development Full Stack Web applications

在线阅读 下载PDF 职称材料

基于RASP和机器学习的SQL注入检测方法

18

作者 秦泽坤 聂闻 +1 位作者 董林旺 骆明华 《信息技术》 2025年第3期69-75,85,共8页

为了在DevOps环境下对Web应用的SQL注入进行有效防御,针对目前检测SQL注入方法中的问题,提出了一种基于RASP(Runtime Application Self-Protection,运行时应用自我保护)和机器学习的SQL注入检测方法。使用RASP技术通过监控应用程序的执... 为了在DevOps环境下对Web应用的SQL注入进行有效防御,针对目前检测SQL注入方法中的问题,提出了一种基于RASP(Runtime Application Self-Protection,运行时应用自我保护)和机器学习的SQL注入检测方法。使用RASP技术通过监控应用程序的执行过程,在攻击发生时及时识别并阻止恶意SQL语句的执行,通过结合机器学习算法来对SQL注入攻击进行自动化识别和分类,对输入的SQL语句是否包含恶意注入代码进行准确的判断。实验表明,成功拦截了SQLMAP等级三发送的225条SQL注入请求中的219条攻击语句,证明该方案能够在不修改所防护应用程序的源码的情况下实现对SQL注入攻击的有效判断识别和拦截。 展开更多

关键词 SQL注入攻击 运行时应用自我保护 ALBERT 逻辑回归 devsecops

在线阅读 下载PDF 职称材料

美军软件现代化发展分析与启示 被引量：3

19

作者 张庆海 彭程 尹瑞 《指挥信息系统与技术》 2024年第4期10-17,45,共9页

为提升现代化战争中我军软件的敏捷迭代能力,首先,分析了美军软件现代化战略,并对其软件采办模式的发展变革以及软件工厂的构建运行机制进行了解读;然后,对美军软件采办模式和软件工厂的实施进展、取得成效以及后续发展计划进行了阐述;... 为提升现代化战争中我军软件的敏捷迭代能力,首先,分析了美军软件现代化战略,并对其软件采办模式的发展变革以及软件工厂的构建运行机制进行了解读;然后,对美军软件采办模式和软件工厂的实施进展、取得成效以及后续发展计划进行了阐述;最后,结合我军软件研制过程现状给出了启示建议,可为我军实施软件现代化变革提供参考。 展开更多

关键词 软件工厂 开发安全运维一体化(devsecops) 凯赛尔航线

在线阅读 下载PDF 职称材料