第 13 章 向左移动安全与 DevSecOps

根据美国联邦调查局(FBI)互联网犯罪投诉中心(IC3)报告,因网络犯罪造成的总损失已创历史新高,从2019年的35亿美元(USD)增加到2020年的41亿美元(IC3,2019年和2020年)。这一趋势延续了近年来的强劲增长(见图13.1):

image 2024 12 27 15 53 02 260
Figure 1. 图13.1 – IC3报告的因网络犯罪造成的总损失

受影响的公司包括初创企业以及财富500强企业。受影响的公司有Facebook、Twitter、T-Mobile和Microsoft等科技巨头,也有公共机构如旧金山国际机场以及像FireEye这样的安全公司。没有任何公司可以声称网络犯罪对他们不是一个威胁!

在本章中,我们将更广泛地讨论安全在开发过程中的角色,以及如何将其融入到开发流程中,并促进零信任文化的建设。

本章的关键内容包括:

  • Shift-left安全

  • 假设已被攻破、零信任和安全优先的思维方式

  • 攻击模拟

  • 红队-蓝队演练

  • 攻击场景

  • GitHub Codespaces