技术文章

Sonatype 的产品营销副总裁 Tara Flynn Condon 最近在我们的DevSecOps 领导力论坛上接待了来自顶级金融服务公司的四位受人尊敬的专家，其中包括 Sallie Mae 和 Equifax 。对话的中心主题围绕他们当前的项目、已建立的最佳实践、衡量安全计划投资回报率的策略、倡导预算、他们在 DevSecOps 之旅中遇到的挑战、下一步等等。 

金融服务专家怎么说？ 

Equifax 的全球网络安全工程经理 Obie Harden 分享了他的公司最近如何处理资产库存，以确保整个开发生命周期（包括部署、构建阶段和运营方面）的顺利进行。借助 Sonatype Lifecycle 和 Sonatype Nexus Repository 等解决方案，Equifax 实现了全面的资产库存，为各种安全相关问题提供了实时解决方案。 

Sallie Mae 的信息安全首席架构师 Ron Ogle 讨论了该组织的防火墙安全方法，重点关注开源库以降低恶意软件风险。Ogle 还强调将安全性视为质量的一个组成部分，并帮助开发人员从黑客的角度看待他们的代码，以了解潜在的风险。

应用程序安全经理 Reza Mehran-Nejad 讨论了他在左移静态应用程序安全测试 (SAST) 和软件构成分析 (SCA)、实施 Sonatype 存储库防火墙、SBOM 的重要性以及拥有单一窗格的重要性方面的工作有效管理风险的玻璃视图。

屡获殊荣的作家兼一家大型金融机构的产品安全主管德里克·费舍尔 (Derek Fisher) 也强调了了解组织资产状况的重要性。他谈到将应用程序安全作为优先事项，并旨在平衡支持业务和降低风险。他还深入探讨了了解正在使用的库及其实施地点的重要性。 

深入探讨 DevSecOps 对话

这次对话提供了对 DevSecOps 当前趋势的宝贵见解，并强调了整体安全方法的重要性，该方法将其视为整体代码质量的组成部分，并将安全考虑因素集成到整个开发过程中。作为奖励，我们的首席产品开发官 Mitchell Johnson 介绍了开发人员生产力和安全软件开发的融合，以及 Sauron 和 Frodo 如何融入其中。 

虽然这些公司及其团队的运营方式略有不同，但这个众星云集的小组有一个共同点，那就是他们都使用 Sonatype 工具来帮助改善其软件供应链。观看完整视频，了解这些团队如何取得 DevSecOps 的成功。