טיש פון קאָנטענץ[באַהאַלטן][ווייַזן]
איר מיסטאָמע שוין וויסן וואָס DevOps איז אויב איר אַרבעט אין די ווייכווארג אינדוסטריע.
עס איז קיין יבערראַשן אַז רובֿ גרויס פירמס ינטאַגרייץ זייַן מעטאַדאַלאַדזשיז אין זייער וואָרקפלאָוז ווייַל זיי ווערן מער און מער פאָלקס מיט דעוועלאָפּערס.
עטלעכע חדשים אָדער אפילו יאָרן צוריק, הויפּט ווייכווארג קאָמפּאַניעס וואָלט קעסיידער מעלדונג נייַע מגילה.
עס איז געווען גענוג צייט פֿאַר די קאָד צו פאָרן זיכערהייַט און קוואַליטעט פארזיכערונג טשעקס; די פּראָוסידזשערז זענען דורכגעקאָכט דורך פרייַ עקספּערט טימז.
מיט די געוואקסן נוצן פון ציבור וואלקנס, פילע פלאָוז זענען אָטאַמייטיד ניצן נייַע מכשירים און טעקנאַלאַדזשיז, וואָס אַלאַוז געשעפטן צו אַנטוויקלען מער געשווינד און בלייבן איין שריט פאָרויס פון די פאַרמעסט.
מאָנאָליטהיק מגילה אנגעהויבן צו פראַגמענט אין קלענערער, אָטאַנאַמאַס קאַמפּאָונאַנץ נאָך די הקדמה פון קאַנטיינערז און די מיקראָסערוויס באַגריף.
דאָס געוואקסן די בייגיקייט פון ווי ווייכווארג איז באשאפן און ימפּלאַמענאַד.
אָבער, די מערהייַט פון זיכערהייט און העסקעם מאָניטאָרינג סיסטעמען האט נישט ויסשטעלונג דעם אַנטוויקלונג.
רובֿ פון זיי זענען נישט ביכולת צו פּרובירן זייער קאָד אַזוי געשווינד ווי אַ טיפּיש DevOps סוויווע פארלאנגט ווי אַ רעזולטאַט.
די ימפּלאַמענטיישאַן פון SecDevOps איז געווען בדעה צו אַדרעס דעם פּראָבלעם און גאָר ויסשטימען זיכערהייט טעסטינג אין די קעסיידערדיק ינטאַגריישאַן (CI) און קעסיידערדיק עקספּרעס (CD) פּייפּליינז, און אויך פֿאַרבעסערן די וויסן און עקספּערטיז פון די אַנטוויקלונג מאַנשאַפֿט אין סדר צו פאַסילאַטייט ינערלעך טעסטינג און פּאַטטשינג.
איר וועט אַנטדעקן מער וועגן SecDevOps אין דעם שטיק, אַרייַנגערעכנט די וויכטיקייט, ווערקינגז, בעסטער פּראַקטיסיז און פיל מער.
אַזוי, וואָס איז SecDevOps?
DevOps איז שנעל, גראָב און אָטאַמייטיד, און עס האט אַ פּלאַץ פון אַדוואַנטידזשיז אויף זיך.
אָבער, די ינאַגריישאַן פון זיכערהייט איז קאַנסטריינד ווייַל קוויקער דיפּלוימאַנט מיטל ווייניקערע פֿענצטער פון צייט צו ידענטיפיצירן און אַדרעס זיכערהייט פלאָז.
אויב זיכערהייט איז נישט אַרייַנגערעכנט אין די בויען און מעלדונג פּראָצעס בשעת דעוועלאָפּינג אַפּפּס מיט די כוונה פון גיך דיפּלוימאַנט (די DevOps אופֿן), איר קען לאָזן זיי אָפן פֿאַר באַטייטיק זיכערהייט פלאָז.
דאָס איז ווו SecDevOps (אויך באקאנט ווי DevSecOps אָדער DevOpsSec) קומט אין שפּיל. דער אופֿן ינוואַלווז ינקאָרפּערייטינג זיכערהייט אין די פּראַסעסאַז פֿאַר אַנטוויקלונג און דיפּלוימאַנט, ווי דער נאָמען וואָלט ימפּלייז.
SecDevOps איז אַ זאַמלונג פון בעסטער פּראַקטיסיז דיזיינד צו ינטאַגרייטיד זיכער קאָודינג דיפּלי אין די דעוואָפּס אַנטוויקלונג און דיפּלוימאַנט פּראַסעסאַז.
עס איז אָפט ריפערד צו ווי האַרט DevOps.
ווען זיי מאַכן זייער אַפּפּס, עס ינקעראַדזשאַז דעוועלאָפּערס צו באַטראַכטן זיכערהייט סטאַנדאַרדס און קאַנסעפּס מער ונ דורך. צו האַלטן זיך מיט די שנעל דעוואָפּס מעלדונג מעטאַדאַלאַדזשי, זיכערהייט פּראַסעסאַז און טשעקס זענען ינקאָרפּערייטיד זייער פרי אין די לייפסייק.
SecDevOps איז צעטיילט אין צוויי הויפּט פּאַרץ:
זיכערהייט ווי קאָד (SaC)
אין דעם פונט, די מכשירים און פּראָוסידזשערז פון די DevOps רערנ - ליניע זאָל ינקאָרפּערייט זיכערהייט.
עס גייט אַז מכשירים פֿאַר סטאַטיק אַפּלאַקיישאַן זיכערהייט טעסטינג (SAST) און דינאַמיש אַפּלאַקיישאַן זיכערהייט טעסטינג (DAST) אויטאָמאַטיש יבערקוקן געבויט אַפּלאַקיישאַנז.
רעכט צו דעם, אָטאַמייטיד פּראַסעסאַז זענען פּרייאָראַטייזד איבער מאַנואַל אָנעס (כאָטש מאַנואַל פּראַסעסאַז זענען דארף פֿאַר זיכערהייט-קריטיש אַרעאַס פון די אַפּלאַקיישאַן).
די DevOps פּראַסעסאַז און געצייַג קייטן מוזן אַרייַננעמען זיכערהייט ווי קאָד. די מכשירים און זייער אָטאַמיישאַן מוזן זיין קאַמפּאַטאַבאַל מיט די קאַנטיניואַס עקספּרעס אַרקאַטעקטשער.
ינפראַסטראַקטשער ווי קאָד (יאַק)
די זאַמלונג פון DevOps מכשירים געניצט פֿאַר קאַנפיגיערינג און אַפּגריידינג ינפראַסטראַקטשער פּאַרץ אין סדר צו צושטעלן אַ זיכער און געראטן דיפּלוימאַנט סוויווע זענען ריפערד צו דאָ.
מכשירים ווי שעף, Ansible און Puppet זענען אָפט געניצט אין דעם פּראָצעס.
יאַק ינטיילז ניצן די זעלבע קאָד אַנטוויקלונג גיידליינז צו פירן אַפּעריישאַנאַל ינפראַסטראַקטשער ווי קעגן צו טאָן מאַנואַל קאַנפיגיעריישאַן דערהייַנטיקונגען אָדער אָלטעריישאַנז ניצן איין-אַוועק סקריפּס.
ווי אַ רעזולטאַט, אַנשטאָט פון פּרווון צו לאַטע און דערהייַנטיקן דיפּלויד סערווערס, אַ סיסטעם אַרויסגעבן ריקווייערז די דיפּלוימאַנט פון אַ קאַנפיגיעריישאַן-קאַנטראָולד סערווער.
איידער די קאַטער פון די אַפּלאַקיישאַן, SecDevOps ניצט קעסיידערדיק און אָטאַמייטיד זיכערהייט טעסטינג. צו גאַראַנטירן די פרי דיטעקשאַן פון קיין פלאָז, אַרויסגעבן טראַקינג איז געניצט.
אַדדיטיאָנאַללי, עס ניצט אָטאַמיישאַן און טעסטינג צו צושטעלן מער עפעקטיוו זיכערהייט טשעקס איבער די גאַנץ ווייכווארג אַנטוויקלונג לייפסייק.
פארוואס דאַרף אַ פאַרנעמונג SecDevOps?
אין הייַנט ס דיגיטאַל עלטער, זיכערהייט מוזן זיין אין די פראָנט און די שפּיץ בילכערקייַט פון יעדער אָרגאַניזאַציע.
דורך שטעלן אַ SecDevOps מאָדעל, אַ פירמע דעמאַנסטרייץ אַז עס איז פּראָואַקטיוו אלא ווי ריאַקטיוו ווען עס קומט צו זיכערהייט.
די אַנטוויקלונג פון שטאַרק סיסטעמען און טראַסטווערדי, ריזיליאַנט אַפּלאַקיישאַנז איז ינקעראַדזשד דורך אַ "סעקוריטי ערשטער" פֿירמע פּסיכאָלאָגיע.
אין הייַנט ס זייער קאַמפּעטיטיוו עס מאַרק, אָרגאַנאַזיישאַנז קענען נישט פאַרגינענ זיך צו האָבן זיכערהייט פלאָז אין זייער פּראָדוקציע סיסטעמען.
אַטאַקס וואָס נוצן עקספּלויץ זענען טייַער און אָפט מאַכן אַ סיסטעם אָדער אָרגאַניזאַציע אַניוזאַבאַל. SecDevOps אין אַן אָרגאַניזאַציע ינייבאַלז קעסיידערדיק זיכערהייט טראָפּ אויף יעדער רערנ - ליניע.
וויסן אַז איר קריייץ ספּעציפיש מגילה און סיסטעמען מיט די פֿעיִקייטן און פאַנגקשאַנאַליטי וואָס קאָנסומערס דאַרפֿן צו געבן איר שלום פון גייַסט.
כּדי צו מאַכן זיכער אַז די געשעפט נאָכקומען מיט זיכערהייט בעסטער פּראַקטיסיז, סטאַנדאַרדס און געסעצ - געבונג, עס איז אַדווייזד אַז די זיכערהייט מאַנשאַפֿט זאָל זיין ינוואַלווד פרי און אָפט אין אַלע ינזשעניעריע און ניט-אינזשעניריע ינישאַטיווז.
ווי קען SecDevOps אַרבעטן?
SecDevOps איז זארגן מיט מאָווינג זיכערהייט צו די לינקס. דעם מיטל אַז אַלעמען מוזן נעמען פֿאַראַנטוואָרטלעכקייט פֿאַר זיכערהייט פון די אָנהייב, אפילו בעשאַס די פּלאַנירונג סטאַגעס, אלא ווי ימפּלאַמענינג אַן אינצידענט ענטפער סיסטעם.
אין קאַנטראַסט צו טיפּיש וואַסערפאַל אַפּראָוטשיז, וואָס שטעלן זיכערהייט אין די סוף פון די לעבן ציקל, דאָס איז אַ באַטייטיק ענדערונג. זיכערהייט מוזן זיין קאַנסידערד אין אַלע ברירות און איבער די לעבן פון אַנטוויקלונג.
אין אַדישאַן צו נוצן סאַקאָנע מאָדעלס, זיי שטיצן אַ פּראָבע-געטריבן אַנטוויקלונג סוויווע מיט זיכערהייט טעסט קאַסעס.
איר מוזן מאַכן זיכער אַז אָטאַמייטיד זיכערהייט טעסטינג און קעסיידערדיק ינאַגריישאַן זענען ינאַגרייטיד אין דעם פּראָצעס.
צו געפֿינען די פּאָטענציעל וויקנאַסאַז פון די אַפּלאַקיישאַן, SecDevOps דאַרף אַ פול אָנכאַפּן פון ווי עס פאַנגקשאַנז.
איר קענען בעסער באַשיצן עס פון זיכערהייט ריסקס איצט אַז איר זענט אַווער פון דעם. סאַקאָנע מאָדעלס זענען אָפט געניצט צו טאָן דאָס איבער די לעבן פון אַנטוויקלונג.
צו ווייַטער פֿאַרשטיין ווי עס פאַנגקשאַנז, לאָזן אונדז קוק אין אַ טיפּיש SecDevOps פּראָצעדור.
א סיסטעם פֿאַר ווערסיע קאָנטראָל פאַרוואַלטונג איז געניצט דורך דעוועלאָפּערס. ווי אַ רעזולטאַט, קאָמוניקאַציע אויף אַזאַ פּראַדזשעקס איז פאַסילאַטייטיד און זיי זענען ביכולת צו האַלטן שפּור פון ענדערונגען אין ווייכווארג אַנטוויקלונג ינישאַטיווז.
ווען ארבעטן אויף אַ קאָודינג פּרויעקט מיט קאָללאַבאָראַטיוולי, דעוועלאָפּערס קענען לייכט טיילן זייער דזשאָבס מיט צווייגן.
- א דעוועלאָפּער וועט ערשטער שרייַבן קאָד פֿאַר די סיסטעם.
- דער סיסטעם וועט דעמאָלט אָננעמען די אַדזשאַסטמאַנץ.
- דער קאָד וועט זיין ריטריווד פון די סיסטעם און יגזאַמאַנד דורך אן אנדער דעוועלאָפּער. צו געפֿינען זיכערהייט פלאָז אָדער וואַלנעראַביליטיז, פונאַנדערקלייַבן די סטאַטיק קאָד אין דעם בינע.
דער נאָרמאַל SecDevOps פּראָצעדור וועט פאָרזעצן אין די פאלגענדע שטייגער נאָך דעם בינע:
- מאַכן אַ דיפּלוימאַנט סוויווע פֿאַר די אַפּלאַקיישאַן און אַפּלייינג זיכערהייט סעטטינגס צו די סיסטעם ניצן יאַק טעקנאַלאַדזשיז ווי ליאַלקע, שעף און אַנסיבלע
- קאַנדאַקטינג באַקענד, ינאַגריישאַן, API, זיכערהייט און וי טעסץ ווי אַ טייל פון אַ פּראָבע אָטאַמיישאַן סוויט קעגן אַ פריש דיפּלויד אַפּלאַקיישאַן.
- דיפּלויינג אַ אַפּלאַקיישאַן און לויפן אָטאַמאַטיק דינאַמיש טעסטינג אויף עס אין אַ פּראָבע סוויווע.
- אַמאָל די טעסץ זענען געראָטן, צעוויקלען די אַפּלאַקיישאַן צו אַ פּראָדוקציע סוויווע.
- קעסיידער האַלטן אַן אויג פֿאַר אַקטיוו זיכערהייט קאַנסערנז אין די פּראָדוקציע סוויווע.
Benefits פון SecDevOps
אין SecDevOps, די זיכערהייט מאַנשאַפֿט יסטאַבלישיז די פונדאַמענטאַל פּאַלאַסיז פאָרויס.
די רעגיאַליישאַנז קענען דעקן זאכן ווי קאָד סטאַנדאַרדס, טעסטינג רעקאַמאַנדיישאַנז, גיידאַנס פֿאַר סטאַטיק און דינאַמיש אַנאַליסיס, פארבאטן קעגן ניצן שוואַך ענקריפּשאַן און אַנסייף אַפּיס, עטק.
אַדדיטיאָנאַללי, זיי ויסשליסן סיבות וואָס וואָלט דאַרפֿן מאַנואַל קאַמף פון זיכערהייט מאַנשאַפֿט (למשל ענדערונגען אין אָטענטאַקיישאַן אָדער אין די דערלויבעניש מאָדעל, אָדער אנדערע זיכערהייט-קריטיש געביטן).
דער אַנטוויקלונג מאַנשאַפֿט גיינז עקספּערטיז אין זיכערהייט ווי אַ רעזולטאַט פון אַרייַנגערעכנט עס אין דעם פּראָצעס.
דורך טאן דעם, עס איז זיכער אַז דער סוף פון די רערנ - ליניע האט די מינאַסט מעגלעך זיכערהייט פלאָז. אויב אַ וואַלנעראַביליטי טוט אָנהאַלטן, עס וועט זיין פּשוט צו דורכפירן אַן ויספאָרשונג, דערהייַנטיקן די פּראָצעדור און מאַכן ימפּרווומאַנץ.
מאַכן די פארלאנגט ענדערונגען צו זיכערהייט כּללים און סטאַנדאַרדס איז גרינגער מיט די הילף פון אַ וואָרצל גרונט אַנאַליסיס.
צו לייגן עס אן אנדער וועג, מיט יעדער ציקל, דער רעזולטאַט וועט באַקומען בעסער. ינשורינג ווייניקער דיסראַפּטיוו שפּעט-ציקל עסקאַליישאַנז איז אן אנדער ציל פון יטעראַטיווע ימפּרווומאַנץ.
די פאלגענדע זענען אַ ביסל פון די מערסט באַוווסט אַדוואַנטידזשיז פון SecDevOps:
- די פיייקייט צו רעאַגירן געשווינד צו ענדערונגען און פאדערונגען
- פרי דיטעקשאַן פון קאָודינג וואַלנעראַביליטיז
- ימפּרוווד פלינקייַט און שנעלקייט פֿאַר זיכערהייט וניץ
- מער מאַנשאַפֿט קוואַפּעריישאַן און קאָמוניקאַציע
- צו פריי די רעסורסן פון מאַנשאַפֿט מיטגלידער צו אַרבעטן אויף הויך-ווערט אַקטיוויטעטן דורך אָטאַמיישאַן
- מער גיכער פֿאַר קוואַליטעט און זיכערהייט טעסטינג, ווי געזונט ווי אָטאַמייטיד בויען
עפעקטיוו סטראַטעגיעס פֿאַר SecDevOps
SecDevOps ינטאַגרייץ זיכערהייט, אַנטוויקלונג און אַפּעריישאַנז צו העלפֿן זיי אַלע אַרבעטן צו אַ איין אָביעקטיוו דורך פֿאַרבעסערן צוזאַמענאַרבעט, פּראָוסידזשערז און מכשירים.
רעכט צו קולטור ומכיישעק, ימפּראַפּער מאַנשאַפֿט קאָמוניקאַציע אָדער צייט ריסטריקשאַנז, ינקאָרפּערייטינג זיכערהייט אין דיין DevOps וואָרקפלאָוו קען זיין אַ ביסל שרעקלעך.
כאָטש עס איז נישט אַ איין, געראָטן אופֿן וואָס יעדער פירמע קענען נוצן צו אַנטוויקלען אַ SecDevOps פּראָגראַם, עס זענען זיכער פּאָינטערז און סטראַטעגיעס וואָס קען זיין נוציק.
אָנהייבן מיט ימפּלאַמענינג זיכער אַנטוויקלונג און טריינינג.
דאָס טוט נישט מיינען אַז איר מוזן צווינגען דיין ענדזשאַנירז צו ווערן זיכערהייט ספּעשאַלאַסץ אָדער צו ווערן באַהאַוונט אין קאַטינג-ברעג זיכערהייט מכשירים.
אָבער איר ווילן צו טראַכטן וועגן לערנען זיי זיכערהייט פּראָוסידזשערז וואָס וועט העלפֿן באַשיצן דיין פּראָגראַם. טי
צו ענשור אַז דיין דעוועלאָפּערס קענען געשווינד באַגרייַפן און נוצן געזונט זיכערהייט פּראָוסידזשערז, איר זאָל פאָרשלאָגן זיכערהייט טריינינג וואָס איז יינציק טיילערד פֿאַר זיי.
נוצן ווערסיע קאָנטראָל אין אַלע סיטואַטיאָנס.
אין אַ DevOps קאָנטעקסט, יעדער אַפּלאַקיישאַן ווייכווארג, מוסטער, דיאַגראַמע און שריפט מוזן נוצן עפעקטיוו ווערסיע מכשירים און סטראַטעגיעס.
פילע זיכערהייט אַדוואַנטידזשיז קומען מיט ווערסיע קאָנטראָל, און עס ינייבאַלז ינסטראַקשאַנז צו:
- באַשטימען וואָס בויען אָדער שטריך איז געניצט ווען אַ זיכערהייט פּראָבלעם פארגעקומען.
- האַלטן שפּור פון אַנטוויקלונג אַקטיוויטעטן צו נאָכקומען מיט לעגאַל סטאַנדאַרדס.
- קוק אין און געפֿינען קיין שעדלעך אָדער שפּירעוודיק קאַמפּאָונאַנץ וואָס זענען צוגעגעבן צו די אַנטוויקלונג פּראָצעס.
אָננעמען די באַגריף פון מענטשן-סענטריק זיכערהייט
זיכערהייט ימפּלאַמענטיישאַן זאָל נישט פאַלן אונטער די פּערוויו פון אַ איין מאַנשאַפֿט.
צו מאַכן זיכער אַז אַלעמען אַקסעפּץ פֿאַראַנטוואָרטלעכקייט פֿאַר אַדכירינג צו זיכערהייט סטאַנדאַרדס, דיין פירמע זאָל אַדאַפּט אַ מענטשן-סענטריק זיכערהייט קולטור.
מוטיקן דעוועלאָפּערס, טעסטערס און אנדערע שטעקן מיטגלידער צו נעמען פּערזענלעך פֿאַראַנטוואָרטלעכקייט פֿאַר זיכערהייט אין אַדישאַן צו זיכערהייט טריינינג.
Sזיכערהייט מאָניטאָרינג איז יקערדיק, אָבער עס אויך דאַרף זיין פֿון דעם יחיד, און יעדער מאַנשאַפֿט מיטגליד זאָל נעמען פֿאַראַנטוואָרטלעכקייט פֿאַר עס.
אָטאַמייט רעגולער אַרבעט
רובֿ געגרינדעט DevSecOps סיסטעמען נוצן אָטאַמיישאַן אָפט און פרי.
פֿאַר בייַשפּיל, אָטאַמייטינג זיכערהייט טעסץ מאכט עס סימפּלער צו געפֿינען קיין פלאָז אין דיין קאָד, וואָס ספּידז די אַנטוויקלונג און ינקריסיז פּראָודאַקטיוויטי פון דעוועלאָפּער.
דאָס איז דער הויפּט אמת אין גרויס קאָמפּאַניעס ווו ענדזשאַנירז אָפט לויפן עטלעכע קאָד ווערסיעס איבער דעם טאָג.
לימיטיישאַנז פון SecDevOps
טראָץ דעם פאַקט אַז SecDevOps איז די לעצטע מעטאַדאַלאַדזשי פֿאַר אַפּלאַקיישאַן אַנטוויקלונג און אָפפערס עטלעכע אַדוואַנטידזשיז איבער קאַנווענשאַנאַל טעקניקס.
אָבער, עס אויך האט אַ ביסל לימיטיישאַנז, וואָס זענען ליסטעד אונטן.
- עס קענען ניט זיין געשווינד דיפּלויד ווייַל עס איז אַ לאַנג פּראָצעדור.
- עס איז נייטיק צו באַן דעוועלאָפּערס אויף זיכער קאָדירונג טעקניקס און אָפט וואַלנעראַביליטיז, וואָס דאַרפן צייט און נאָך רעסורסן.
- א קאָנפליקט פון אינטערעס קען אַנטוויקלען אויב די אַפּלאַקיישאַן איז נישט אונטערטעניק צו אַ פרייַ זיכערהייט אַסעסמאַנט.
- די פּלאַנירונג פאַסע פון אַפּלאַקיישאַן אַנטוויקלונג קען טכילעס נעמען מער רעכט צו דער ברייט דעפֿיניציע פון פּאַלאַסיז און פּראַסעסאַז.
סאָף
ווי זיכערהייט טימז קעסיידער געפֿינען נייַע וועגן צו אַרבעטן, SecDevOps איז אָנצינדן ענטוזיאַזם און פאַסטער שאפן.
ווי דיפּאַרטמאַנץ קאָואַפּערייט מיט איינער דעם אנדערן אלא ווי גרינדן קאַמפּעטיטיוו טייז, דאָס פאַסטער אָרגאַנאַזיישאַנאַל וווּקס.
ימפּלאַמענטיישאַן פון SecDevOps אָפפערס הויפּט טעכניש און פינאַנציעל אַדוואַנטידזשיז צו ענטערפּריסעס.
אַפּפּליקאַטיאָן אַנטוויקלונג און פֿאַרבונדן פּראַסעסאַז זענען סאַפער און מער פּראָדוקטיוו ווען זיכערהייט איז די יקער, לויט די SecDevOps Viewpoint.
לאָזן אַ ענטפֿערן