DevSecOps 允许在软件开发周期 (SDLC) 早期进行安全测试集成。 这通常称为“安全性左移”或“左移”。DevSecOps 允许在软件开发周期早期实现无缝应用程序安全,而不是等到最后需要防范的漏洞难以实施且成本高昂。
DevSecOps 是 DevOps 的扩展,又被称作安全 DevOps。 DevOps 对不同的人或组织可能具有不同的意义,它需要文化和技术两方面的变革。 理想情况下,安全是 DevOps 取得成功的隐性要求。
DevSecOps 需要从一开始就进行应用程序和基础架构的安全性规划。 正确的工具可以帮助实现持续集成的安全性目标,包括选择具有安全性功能的集成开发环境 (IDE) 等决策。 工具和流程还必须能够自动化一些安全门,以免减慢 DevOps 工作流程。
DevSecOps 优势
DevSecOps 可在整个软件交付管道中实现增强自动化,从而消除编码错误,并最终减少漏洞。
实施 DevSecOps 工具和流程以将安全性集成到其 DevOps 框架中的团队将能够更快地发布安全软件。 开发人员可以在编写代码时测试代码的安全性并检测安全漏洞。 团队应能够使用现有开发工具,改善 Web 应用程序开发的安全性。
DevSecOps 的关键组件
DevSecOps 方法可能包含这些重要组件:
- 应用程序/API 库存
- 跨产品组合自动发现、配置和持续监控代码。 可能包括数据中心、虚拟环境、私有云、公共云、容器、无服务器等中的生产代码。 使用自动化发现和自评工具组合。 发现工具帮助您识别您拥有的应用程序和 API。 自陈工具使您的应用程序可以自我评定,并将其元数据报告到中央数据库。
- 自定义代码安全
- 开发、测试和运维期间持续监控软件漏洞。 频繁交付代码,以便在每次代码更新时快速识别漏洞。
- 静态应用程序安全测试 (SAST) 能够扫描应用程序源文件,准确识别根本原因,并帮助修复潜在的安全漏洞。
- 动态应用程序安全测试 (DAST) 会模拟对正在运行的 Web 应用程序或服务发起管控攻击,识别出正在运行的环境中可利用的漏洞。
- 交互式应用程序安全测试 (IAST) 通过使用代理和传感器对应用程序进行检测来提供深度扫描,以持续分析应用程序、其基础结构、依赖关系、数据流以及所有代码。
- 开源安全
- 开源软件 (OSS) 通常包含安全漏洞,因此完整的安全方法包括用于跟踪 OSS 库并报告漏洞和许可证违规的解决方案。
- 软件组合分析 (SCA) 能够自动实现开源软件 (OSS) 的可视性,以进行风险管理并确保安全和许可证合规性。
- 运行时防护
- 保护生产中的应用程序 – 可能会发现新的漏洞或者旧应用程序未处于开发中。
- 日志记录可告知您攻击媒介和系统目标类型。 威胁情报可告知威胁建模和安全架构流程。
- 运行时应用自我保护 (RASP) 能够检测应用程序,直接评估内部攻击,并阻止内部漏洞利用。
- 合规性监控
- 实现 GDPR、CCPA、PCI 等的审计就绪和持续合规状态。
- 文化因素
应用 DevSecOps
第 1 步:将安全纳入软件需求
第 2 步:尽早、经常性快速测试
第 3 步:利用集成,使应用程序安全性成为生命周期的自然组成部分
第 4 步:在开发和测试过程中自动执行安全活动
第 5 步:在发布后及时实施监控和保护
Fortify 帮助将安全纳入 DevOps
- 开发人员友好型
- CI/CD 管道自动化
- 配备了 Fortify Static Code Analyzer 的 SAST
- 配备了 Fortify WebInspect 的 DAST
- 配备了 Fortify Application Defender 的 RASP
- 配备了 Sonatype and Fortify 的软件组合分析 (SCA)/开源安全 (OSS)
- 扩展应用程序安全
