DevSecOps 允許在軟件開(kāi)發(fā)周期 (SDLC) 早期進(jìn)行安全測試集成(chéng)。 這(zhè)通常稱爲“安全性左移”或“左移”。DevSecOps 允許在軟件開(kāi)發(fā)周期早期實現無縫應用程序安全,而不是等到最後(hòu)需要防範的漏洞難以實施且成(chéng)本高昂。
DevSecOps 是 DevOps 的擴展,又被稱作安全 DevOps。 DevOps 對(duì)不同的人或組織可能(néng)具有不同的意義,它需要文化和技術兩(liǎng)方面(miàn)的變革。 理想情況下,安全是 DevOps 取得成(chéng)功的隐性要求。
DevSecOps 需要從一開(kāi)始就(jiù)進(jìn)行應用程序和基礎架構的安全性規劃。 正确的工具可以幫助實現持續集成(chéng)的安全性目标,包括選擇具有安全性功能(néng)的集成(chéng)開(kāi)發(fā)環境 (IDE) 等決策。 工具和流程還(hái)必須能(néng)夠自動化一些安全門,以免減慢 DevOps 工作流程。
DevSecOps 優勢
DevSecOps 可在整個軟件交付管道(dào)中實現增強自動化,從而消除編碼錯誤,并最終減少漏洞。
實施 DevSecOps 工具和流程以將(jiāng)安全性集成(chéng)到其 DevOps 框架中的團隊將(jiāng)能(néng)夠更快地發(fā)布安全軟件。 開(kāi)發(fā)人員可以在編寫代碼時(shí)測試代碼的安全性并檢測安全漏洞。 團隊應能(néng)夠使用現有開(kāi)發(fā)工具,改善 Web 應用程序開(kāi)發(fā)的安全性。
DevSecOps 的關鍵組件
DevSecOps 方法可能(néng)包含這(zhè)些重要組件:
- 應用程序/API 庫存
- 跨産品組合自動發(fā)現、配置和持續監控代碼。 可能(néng)包括數據中心、虛拟環境、私有雲、公共雲、容器、無服務器等中的生産代碼。 使用自動化發(fā)現和自評工具組合。 發(fā)現工具幫助您識别您擁有的應用程序和 API。 自陳工具使您的應用程序可以自我評定,并將(jiāng)其元數據報告到中央數據庫。
- 自定義代碼安全
- 開(kāi)發(fā)、測試和運維期間持續監控軟件漏洞。 頻繁交付代碼,以便在每次代碼更新時(shí)快速識别漏洞。
- 靜态應用程序安全測試 (SAST) 能(néng)夠掃描應用程序源文件,準确識别根本原因,并幫助修複潛在的安全漏洞。
- 動态應用程序安全測試 (DAST) 會(huì)模拟對(duì)正在運行的 Web 應用程序或服務發(fā)起(qǐ)管控攻擊,識别出正在運行的環境中可利用的漏洞。
- 交互式應用程序安全測試 (IAST) 通過(guò)使用代理和傳感器對(duì)應用程序進(jìn)行檢測來提供深度掃描,以持續分析應用程序、其基礎結構、依賴關系、數據流以及所有代碼。
- 開(kāi)源安全
- 開(kāi)源軟件 (OSS) 通常包含安全漏洞,因此完整的安全方法包括用于跟蹤 OSS 庫并報告漏洞和許可證違規的解決方案。
- 軟件組合分析 (SCA) 能(néng)夠自動實現開(kāi)源軟件 (OSS) 的可視性,以進(jìn)行風險管理并确保安全和許可證合規性。
- 運行時(shí)防護
- 保護生産中的應用程序 – 可能(néng)會(huì)發(fā)現新的漏洞或者舊應用程序未處于開(kāi)發(fā)中。
- 日志記錄可告知您攻擊媒介和系統目标類型。 威脅情報可告知威脅建模和安全架構流程。
- 運行時(shí)應用自我保護 (RASP) 能(néng)夠檢測應用程序,直接評估内部攻擊,并阻止内部漏洞利用。
- 合規性監控
- 實現 GDPR、CCPA、PCI 等的審計就(jiù)緒和持續合規狀态。
- 文化因素
- 确定安全支持者,爲開(kāi)發(fā)人員建立安全培訓等。
應用 DevSecOps
第 1 步:將(jiāng)安全納入軟件需求
第 2 步:盡早、經(jīng)常性快速測試
第 3 步:利用集成(chéng),使應用程序安全性成(chéng)爲生命周期的自然組成(chéng)部分
第 4 步:在開(kāi)發(fā)和測試過(guò)程中自動執行安全活動
第 5 步:在發(fā)布後(hòu)及時(shí)實施監控和保護
Fortify 幫助將(jiāng)安全納入 DevOps
- 開(kāi)發(fā)人員友好(hǎo)型
- 使用 Fortify Security Assistant:Visual Studio 或 Eclipse 在開(kāi)發(fā)人員的 IDE 中實現實時(shí)安全性
- 借助 Fortify 集成(chéng)生态系統將(jiāng)安全性嵌入應用程序開(kāi)發(fā)和部署工作中
- 通過(guò) Secure Code Warrior 集成(chéng)和 Micro Focus 培訓開(kāi)展開(kāi)發(fā)人員培訓
- CI/CD 管道(dào)自動化
- 配備了 Fortify Static Code Analyzer 的 SAST
- 配備了 Fortify WebInspect 的 DAST
- 配備了 Fortify Application Defender 的 RASP
- 配備了 Sonatype and Fortify 的軟件組合分析 (SCA)/開(kāi)源安全 (OSS)
- 擴展應用程序安全
- 配備了 Fortify on Demand 的安全即服務
- 通過(guò) Fortify Audit Assistant,進(jìn)行 AI 輔助審計,減少誤報
- 被 Gartner 應用安全測試魔力象限評爲領導品牌
關于蘇州華克斯信息科技有限公司
聯系方式:400-028-4008
0512-62382981
專業的測試及安全産品服務提供商
Fortify | Webinspect | AppScan | SonarQube
LoadRunner | UFT(QTP) | ALM(QC)| Nessus
Micro Focus (原HPE)鉑金合作夥伴
SonarQube中國(guó)總代理
HCL中國(guó)合作夥伴
極狐GiLab鉑金級合作夥伴
掃二維碼用手機看
更多資訊