Werrej[Aħbi][Uri]
Probabilment diġà taf x'inhu DevOps jekk taħdem fl-industrija tas-softwer.
Mhijiex sorpriża li l-biċċa l-kbira tad-ditti l-kbar qed jintegraw il-metodoloġiji tagħha fil-flussi tax-xogħol tagħhom peress li qed isiru dejjem aktar popolari mal-iżviluppaturi.
Ftit xhur jew saħansitra snin ilu, kumpaniji ewlenin tas-softwer kienu jirrilaxxaw regolarment programmi ġodda.
Kien hemm żmien biżżejjed għall- kodiċi biex jgħaddu sigurtà u kwalità kontrolli ta' assigurazzjoni; dawn il-proċeduri twettqu minn timijiet ta' esperti indipendenti.
Biż-żieda fl-użu ta 'sħab pubbliċi, ħafna flussi ġew awtomatizzati bl-użu ta' għodod u teknoloġiji ġodda, li jippermettu lin-negozji jiżviluppaw aktar malajr u jibqgħu pass 'il quddiem mill-kompetizzjoni.
Programmi monolitiċi bdew jifframmentaw f'komponenti iżgħar u awtonomi wara l-introduzzjoni ta 'kontenituri u l-kunċett ta' mikroservizz.
Dan żied il-flessibilità ta' kif inħoloq u ġie implimentat is-software.
Madankollu, il-maġġoranza tas-sistemi ta' monitoraġġ tas-sigurtà u tal-konformità ma wrewx dan l-iżvilupp.
Ħafna minnhom ma setgħux jittestjaw il-kodiċi tagħhom malajr daqskemm ambjent DevOps tipiku mitlub bħala riżultat.
L-implimentazzjoni ta 'SecDevOps kienet maħsuba biex tindirizza din il-problema u tintegra kompletament l-ittestjar tas-sigurtà fil-pipelines ta' integrazzjoni kontinwa (CI) u twassil kontinwu (CD) filwaqt li ttejjeb ukoll l-għarfien u l-kompetenza tat-tim ta 'żvilupp sabiex tiffaċilita l-ittestjar intern u l-patching.
Int ser tiskopri aktar dwar SecDevOps f'din il-biċċa, inklużi l-importanza tagħha, il-ħidma, l-aħjar prattiki, u ħafna aktar.
Allura, x'inhu SecDevOps?
DevOps huwa rapidu, imħatteb u awtomatizzat, u għandu ton ta 'vantaġġi waħdu.
Madankollu, l-integrazzjoni tas-sigurtà hija ristretta peress li skjerament aktar mgħaġġel ifisser inqas twieqi ta' żmien biex jiġu identifikati u indirizzati d-difetti tas-sigurtà.
Jekk is-sigurtà mhix inkluża fil-proċess tal-bini u r-rilaxx waqt l-iżvilupp ta 'apps bl-intenzjoni ta' skjerament rapidu (il-metodu DevOps), tista 'tħallihom miftuħa għal difetti sinifikanti tas-sigurtà.
Dan huwa fejn jidħol fis-seħħ SecDevOps (magħruf ukoll bħala DevSecOps jew DevOpsSec). Dan il-metodu jinvolvi l-inkorporazzjoni tas-sigurtà fil-proċessi għall-iżvilupp u l-iskjerament, kif jimplika l-isem.
SecDevOps hija ġabra ta' l-aħjar prattiki mfassla biex jintegraw kodifikazzjoni sigura fil-fond fil-proċessi ta' żvilupp u skjerament ta' DevOps.
Ħafna drabi tissejjaħ DevOps iebsa.
Hekk kif joħolqu l-apps tagħhom, iħeġġeġ lill-iżviluppaturi biex iqisu l-istandards u l-kunċetti tas-sigurtà b'mod aktar bir-reqqa. Biex tibqa' aġġornata mal-metodoloġija ta' rilaxx DevOps malajr, il-proċessi u l-kontrolli tas-sigurtà huma inkorporati kmieni ħafna fiċ-ċiklu tal-ħajja.
SecDevOps huwa maqsum f'żewġ partijiet ewlenin:
Sigurtà bħala kodiċi (SaC)
F'dan il-punt, l-għodod u l-proċeduri tal-pipeline DevOps għandhom jinkorporaw is-sigurtà.
Isegwi li għodod għall ittestjar statiku tas-sigurtà tal-applikazzjoni (SAST) u ttestjar dinamiku tas-sigurtà tal-applikazzjoni (DAST) awtomatikament scan applikazzjonijiet mibnija.
Minħabba dan, proċessi awtomatizzati huma prijoritizzati fuq dawk manwali (għalkemm proċessi manwali huma meħtieġa għal oqsma kritiċi għas-sigurtà tal-applikazzjoni).
Il-proċessi DevOps u l-ktajjen tal-għodda għandhom jinkludu s-sigurtà bħala kodiċi. Dawn l-għodod u l-awtomazzjoni tagħhom għandhom ikunu kompatibbli mal-arkitettura ta' Kunsinna Kontinwa.
Infrastruttura bħala Kodiċi (IaC)
Il-ġbir ta 'għodod DevOps użati għall-konfigurazzjoni u l-aġġornament ta' partijiet ta 'infrastruttura sabiex jipprovdu ambjent ta' skjerament sikur u ġestit huma msemmija hawn.
Għodod bħal Chef, Ansible, u Puppet jintużaw ta 'spiss f'dan il-proċess.
IaC jinvolvi l-użu tal-istess linji gwida għall-iżvilupp tal-kodiċi biex timmaniġġja l-infrastruttura operattiva minflok tagħmel aġġornamenti manwali tal-konfigurazzjoni jew alterazzjonijiet bl-użu ta 'skripts ta' darba.
Bħala riżultat, minflok ma tipprova tagħmel garża u taġġorna servers skjerati, kwistjoni tas-sistema teħtieġ l-iskjerament ta 'server ikkontrollat mill-konfigurazzjoni.
Qabel it-tnedija tal-applikazzjoni, SecDevOps tutilizza ittestjar tas-sigurtà kontinwu u awtomatizzat. Biex tiggarantixxi s-sejba bikrija ta' kwalunkwe difett, jintuża t-traċċar tal-ħruġ.
Barra minn hekk, jagħmel użu mill-awtomazzjoni u l-ittestjar biex jipprovdi kontrolli tas-sigurtà aktar effiċjenti tul iċ-ċiklu tal-ħajja kollu tal-iżvilupp tas-softwer.
Għaliex intrapriża teħtieġ SecDevOps?
Fl-era diġitali tal-lum, is-sigurtà għandha tkun fuq quddiem u l-ogħla prijorità ta’ kull organizzazzjoni.
Billi ddaħħal fis-seħħ mudell SecDevOps, kumpanija qed turi li hija proattiva aktar milli reattiva fejn tidħol is-sigurtà.
L-iżvilupp ta 'sistemi b'saħħithom u applikazzjonijiet affidabbli u reżiljenti huwa mħeġġeġ billi jkun hemm mentalità korporattiva "Is-Sigurtà l-Ewwel".
Fis-suq tal-IT kompetittiv ħafna tal-lum, l-organizzazzjonijiet ma jaffordjawx li jkollhom difetti ta’ sigurtà fis-sistemi ta’ produzzjoni tagħhom.
L-attakki li jużaw l-isfruttamenti jiswew ħafna flus u spiss jagħmlu sistema jew organizzazzjoni inutilizzabbli. SecDevOps ġewwa organizzazzjoni tippermetti enfasi kontinwa fuq is-sigurtà f'kull livell tal-pipeline.
Li tkun taf li qed toħloq programmi u sistemi speċifiċi bil-karatteristiċi u l-funzjonalitajiet li l-konsumaturi jeħtieġu jipprovdulek serħan tal-moħħ.
Biex jiġi żgurat li n-negozju jikkonforma mal-aħjar prattiki, standards, u leġiżlazzjoni tas-sigurtà, huwa rakkomandat li t-Tim tas-Sigurtà jkun involut kmieni u spiss fl-inizjattivi kollha tal-inġinerija u mhux tal-inġinerija.
Kif Jopera SecDevOps?
SecDevOps huwa mħasseb li jċaqlaq is-sigurtà lejn ix-xellug. Dan ifisser li kulħadd għandu jerfa’ r-responsabbiltà għas-sigurtà mill-bidu, anke waqt l-istadji tal-ippjanar, aktar milli jimplimenta sistema ta’ rispons għall-inċidenti.
B'kuntrast ma 'tipiku avviċinamenti kaskata, li jqiegħdu s-sigurtà fl-aħħar taċ-ċiklu tal-ħajja, din hija bidla sinifikanti. Is-sigurtà għandha titqies fl-għażliet kollha u matul iċ-ċiklu tal-ħajja tal-iżvilupp.
Minbarra li jużaw mudelli ta 'theddid, huma jsostnu ambjent ta' żvilupp immexxi minn test b'każijiet ta 'test tas-sigurtà.
Trid tiżgura li l-ittestjar tas-sigurtà awtomatizzat u l-integrazzjoni kontinwa huma integrati fil-proċess.
Biex issib id-dgħufijiet potenzjali tal-applikazzjoni, SecDevOps teħtieġ ħakma sħiħa ta 'kif tiffunzjona.
Tista' tiddefendiha aħjar mir-riskji tas-sigurtà issa li taf b'dan. Mudelli ta' theddid huma spiss użati biex jagħmlu dan matul iċ-ċiklu tal-ħajja tal-iżvilupp.
Biex tifhem aktar kif taħdem, ejja nħarsu lejn proċedura SecDevOps tipika.
Sistema għall-ġestjoni tal-kontroll tal-verżjoni tintuża mill-iżviluppaturi. Bħala riżultat, il-komunikazzjoni dwar proġetti bħal dawn hija ffaċilitata u huma kapaċi jżommu rekord ta 'kwalunkwe tibdil fl-inizjattivi ta' żvilupp ta 'softwer.
Meta jaħdmu fuq proġett ta 'kodifikazzjoni b'mod kollaborattiv, l-iżviluppaturi jistgħu faċilment jaqsmu l-impjiegi tagħhom billi jużaw fergħat.
- Żviluppatur l-ewwel jikteb kodiċi għas-sistema.
- Is-sistema mbagħad taċċetta l-aġġustamenti.
- Il-kodiċi mbagħad jiġi rkuprat mis-sistema u eżaminat minn żviluppatur ieħor. Biex issib difetti jew vulnerabbiltajiet tas-sigurtà, analizza l-kodiċi statiku f'dan l-istadju.
Il-proċedura SecDevOps normali se tkompli bil-mod li ġej wara dan l-istadju:
- Nagħmlu ambjent ta’ skjerament għall-applikazzjoni u jiġu applikati s-settings tas-sigurtà għas-sistema bl-użu ta’ teknoloġiji IaC bħal Puppet, Chef u Ansible
- it-twettiq ta' testijiet ta' backend, integrazzjoni, API, sigurtà u UI bħala parti minn suite ta' awtomazzjoni tat-test kontra applikazzjoni li għadha kif ġiet skjerata.
- skjerament ta' applikazzjoni u tħaddim ta' ttestjar dinamiku awtomatiku fuqha f'ambjent ta' test.
- Ladarba dawn it-testijiet jirnexxu, uża l-applikazzjoni f'ambjent ta' produzzjoni.
- Kontinwament iżżomm għajnejk għal kwalunkwe tħassib attiv dwar is-sigurtà fl-ambjent tal-produzzjoni.
Benefiċċji ta' SecDevOps
F'SecDevOps, it-tim tas-sigurtà jistabbilixxi l-politiki fundamentali bil-quddiem.
Dawn ir-regolamenti jistgħu jkopru affarijiet bħall-istandards tal-kodiċi, rakkomandazzjonijiet tal-ittestjar, gwida għall-analiżi statika u dinamika, projbizzjonijiet kontra l-użu ta 'kodifikazzjoni dgħajfa u APIs mhux sikuri, eċċ.
Barra minn hekk, jiddeskrivu fatturi li jkunu jeħtieġu azzjoni manwali tat-tim tas-sigurtà (eż., bidliet fl-awtentikazzjoni jew fil-mudell tal-awtorizzazzjoni, jew oqsma kritiċi oħra għas-sigurtà).
It-tim tal-iżvilupp jikseb għarfien espert fis-sigurtà bħala riżultat tal-inklużjoni tiegħu fil-proċess.
Billi tagħmel dan, jiġi żgurat li t-tarf tal-pipeline ikollu l-inqas difetti ta 'sigurtà possibbli. Jekk vulnerabbiltà tippersisti, ikun sempliċi li titwettaq investigazzjoni, taġġorna l-proċedura, u tagħmel titjib.
It-tibdil meħtieġ fir-regoli u l-istandards tas-sigurtà jsir aktar faċli bl-għajnuna ta’ analiżi tal-kawża ewlenija.
Fi kliem ieħor, ma 'kull ċiklu, ir-riżultat se jtejjeb. L-iżgurar ta 'eskalazzjonijiet ta' ċiklu tard ta' sfrattu inqas huwa għan ieħor ta 'titjib iterattiv.
Dawn li ġejjin huma ftit mill-vantaġġi l-aktar prominenti ta' SecDevOps:
- Il-kapaċità li tirreaġixxi malajr għal bidliet u talbiet
- Sejbien bikri tal-vulnerabbiltajiet tal-kodifikazzjoni
- B'aġilità u ħeffa mtejba għall-unitajiet tas-sigurtà
- Aktar kooperazzjoni u komunikazzjoni tat-tim
- Biex tillibera r-riżorsi tal-membri tat-tim biex jaħdmu fuq attivitajiet ta 'valur għoli permezz tal-awtomazzjoni
- Aktar opportunitajiet għall-ittestjar tal-kwalità u s-sigurtà, kif ukoll bini awtomatizzat
Strateġiji effettivi għal SecDevOps
SecDevOps jintegra s-sigurtà, l-iżvilupp u l-operazzjonijiet biex jgħinhom kollha jaħdmu lejn għan wieħed billi jtejjeb il-ħidma f'tim, il-proċeduri u l-għodda.
Minħabba riluttanza kulturali, komunikazzjoni mhux xierqa tat-tim, jew restrizzjonijiet ta’ ħin, l-inkorporazzjoni tas-sigurtà fil-fluss tax-xogħol tad-DevOps tiegħek tista’ tkun xi ftit tal-biża’.
Filwaqt li m'hemmx metodu wieħed u ta' suċċess li kull ditta tista' tuża biex tiżviluppa programm SecDevOps, hemm ċerti indikaturi u strateġiji li jistgħu jkunu utli.
Ibda billi timplimenta żvilupp u taħriġ sigur.
Dan ma jimplikax li trid iġġiegħel lill-inġiniera tiegħek biex isiru speċjalisti tas-sigurtà jew biex isiru profiċjenti fl-għodod tas-sigurtà avvanzati.
Imma trid taħseb biex tgħallimhom proċeduri ta 'sigurtà li jgħinu biex jipproteġu l-programm tiegħek. T
o tiżgura li l-iżviluppaturi tiegħek jistgħu jifhmu u jużaw malajr proċeduri ta' sigurtà sodi, għandek toffri taħriġ ta' sigurtà li huwa mfassal apposta għalihom.
Uża l-kontroll tal-verżjoni fis-sitwazzjonijiet kollha.
F'kuntest DevOps, kull softwer ta' applikazzjoni, mudell, dijagramma, u skript irid jagħmel użu minn għodod u strateġiji ta' verżjonijiet effiċjenti.
Ħafna vantaġġi tas-sigurtà jiġu mal-kontroll tal-verżjoni, u jippermetti struzzjonijiet biex:
- Iddetermina liema bini jew karatteristika ntużat meta seħħet problema ta' sigurtà.
- Żomm kont tal-attivitajiet ta 'żvilupp biex tikkonforma mal-istandards legali.
- Ħares fi u jsib kwalunkwe komponenti ta 'ħsara jew vulnerabbli li jkunu ġew miżjuda mal-proċess ta' żvilupp.
Aċċetta l-Kunċett tas-Sigurtà Iċċentrata fuq in-Nies
L-implimentazzjoni tas-sigurtà m'għandhiex taqa' taħt il-kompetenza ta' tim wieħed.
Biex tiżgura li kulħadd jaċċetta r-responsabbiltà li jaderixxi mal-istandards tas-sigurtà, id-ditta tiegħek għandha tadotta kultura ta' sigurtà ċċentrata fuq in-nies.
Ħeġġeġ lill-iżviluppaturi, li jittestjaw, u membri oħra tal-persunal biex jieħdu r-responsabbiltà personali għas-sigurtà minbarra t-taħriġ tas-sigurtà.
Sil-monitoraġġ tal-sigurtà huwa essenzjali, iżda għandu wkoll joriġina minn ġewwa l-individwu, u kull membru tat-tim għandu jerfa' r-responsabbiltà għalih.
Awtomatizza Xogħol Regolari
Il-biċċa l-kbira tas-sistemi DevSecOps stabbiliti jużaw l-awtomazzjoni spiss u kmieni.
Pereżempju, l-awtomatizzazzjoni tat-testijiet tas-sigurtà tagħmilha aktar sempliċi li wieħed isib xi difetti fil-kodiċi tiegħek, li jħaffef l-iżvilupp u jżid il-produttività tal-iżviluppatur.
Dan huwa partikolarment minnu f'ditti kbar fejn l-inġiniera ħafna drabi jmexxu diversi verżjonijiet tal-kodiċi matul il-ġurnata.
Limitazzjonijiet ta' SecDevOps
Minkejja l-fatt li SecDevOps hija l-metodoloġija l-aktar riċenti għall-iżvilupp tal-applikazzjoni u toffri diversi vantaġġi fuq tekniki konvenzjonali.
Madankollu, għandha wkoll ftit limitazzjonijiet, li huma elenkati hawn taħt.
- Ma jistax jiġi skjerat malajr peress li hija proċedura twila.
- Huwa meħtieġ li l-iżviluppaturi jitħarrġu dwar tekniki ta 'kodifikazzjoni sikuri u vulnerabbiltajiet frekwenti, li jeħtieġu ħin u riżorsi addizzjonali.
- Jista' jiżviluppa kunflitt ta' interess jekk l-applikazzjoni ma tkunx soġġetta għal valutazzjoni tas-sigurtà indipendenti.
- Il-fażi tal-ippjanar tal-iżvilupp tal-applikazzjoni tista' inizjalment tieħu aktar żmien minħabba d-definizzjoni estensiva tal-politiki u l-proċessi.
konklużjoni
Hekk kif it-timijiet tas-sigurtà kontinwament isibu modi ġodda kif joperaw, SecDevOps qed iqajjem l-entużjażmu u jrawwem il-kreattività.
Billi d-dipartimenti jikkooperaw ma' xulxin aktar milli jistabbilixxu rabtiet kompetittivi, irawwem it-tkabbir organizzattiv.
L-implimentazzjoni ta’ SecDevOps toffri vantaġġi tekniċi u finanzjarji kbar lill-intrapriżi.
L-iżvilupp tal-applikazzjoni u l-proċessi assoċjati huma aktar sikuri u produttivi meta s-sigurtà hija l-bażi, skont il-perspettiva SecDevOps.
Ħalli Irrispondi