什么是 DevSecOps？

【概要描述】

分类：新闻资讯
作者：苏州华克斯信息科技有限公司
来源：苏州华克斯信息科技有限公司
发布时间：2021-06-04
访问量：0

详情

DevSecOps 允许在软件开发周期 (SDLC) 早期进行安全测试集成。这通常称为“安全性左移”或“左移”。DevSecOps 允许在软件开发周期早期实现无缝应用程序安全，而不是等到最后需要防范的漏洞难以实施且成本高昂。

DevSecOps 是 DevOps 的扩展，又被称作安全 DevOps。 DevOps 对不同的人或组织可能具有不同的意义，它需要文化和技术两方面的变革。理想情况下，安全是 DevOps 取得成功的隐性要求。

DevSecOps 需要从一开始就进行应用程序和基础架构的安全性规划。正确的工具可以帮助实现持续集成的安全性目标，包括选择具有安全性功能的集成开发环境 (IDE) 等决策。工具和流程还必须能够自动化一些安全门，以免减慢 DevOps 工作流程。

DevSecOps 优势

DevSecOps 可在整个软件交付管道中实现增强自动化，从而消除编码错误，并最终减少漏洞。

实施 DevSecOps 工具和流程以将安全性集成到其 DevOps 框架中的团队将能够更快地发布安全软件。开发人员可以在编写代码时测试代码的安全性并检测安全漏洞。团队应能够使用现有开发工具，改善 Web 应用程序开发的安全性。

DevSecOps 的关键组件

DevSecOps 方法可能包含这些重要组件：

应用程序/API 库存
- 跨产品组合自动发现、配置和持续监控代码。可能包括数据中心、虚拟环境、私有云、公共云、容器、无服务器等中的生产代码。使用自动化发现和自评工具组合。发现工具帮助您识别您拥有的应用程序和 API。自陈工具使您的应用程序可以自我评定，并将其元数据报告到中央数据库。
自定义代码安全
- 开发、测试和运维期间持续监控软件漏洞。频繁交付代码，以便在每次代码更新时快速识别漏洞。
- 静态应用程序安全测试 (SAST) 能够扫描应用程序源文件，准确识别根本原因，并帮助修复潜在的安全漏洞。
- 动态应用程序安全测试 (DAST) 会模拟对正在运行的 Web 应用程序或服务发起管控攻击，识别出正在运行的环境中可利用的漏洞。
- 交互式应用程序安全测试 (IAST) 通过使用代理和传感器对应用程序进行检测来提供深度扫描，以持续分析应用程序、其基础结构、依赖关系、数据流以及所有代码。
开源安全
- 开源软件 (OSS) 通常包含安全漏洞，因此完整的安全方法包括用于跟踪 OSS 库并报告漏洞和许可证违规的解决方案。
- 软件组合分析 (SCA) 能够自动实现开源软件 (OSS) 的可视性，以进行风险管理并确保安全和许可证合规性。
运行时防护
- 保护生产中的应用程序 – 可能会发现新的漏洞或者旧应用程序未处于开发中。
- 日志记录可告知您攻击媒介和系统目标类型。威胁情报可告知威胁建模和安全架构流程。
- 运行时应用自我保护 (RASP) 能够检测应用程序，直接评估内部攻击，并阻止内部漏洞利用。
合规性监控
- 实现 GDPR、CCPA、PCI 等的审计就绪和持续合规状态。
文化因素
- 确定安全支持者，为开发人员建立安全培训等。

应用 DevSecOps

第 1 步：将安全纳入软件需求
第 2 步：尽早、经常性快速测试
第 3 步：利用集成，使应用程序安全性成为生命周期的自然组成部分
第 4 步：在开发和测试过程中自动执行安全活动
第 5 步：在发布后及时实施监控和保护

Fortify 帮助将安全纳入 DevOps

开发人员友好型
- 使用 Fortify Security Assistant：Visual Studio 或 Eclipse 在开发人员的 IDE 中实现实时安全性
- 借助 Fortify 集成生态系统将安全性嵌入应用程序开发和部署工作中
- 通过 Secure Code Warrior 集成和 Micro Focus 培训开展开发人员培训
CI/CD 管道自动化
- 配备了 Fortify Static Code Analyzer 的 SAST
- 配备了 Fortify WebInspect 的 DAST
- 配备了 Fortify Application Defender 的 RASP
- 配备了 Sonatype and Fortify 的软件组合分析 (SCA)/开源安全 (OSS)
扩展应用程序安全
- 配备了 Fortify on Demand 的安全即服务
- 通过 Fortify Audit Assistant，进行 AI 辅助审计，减少误报
- 被 Gartner 应用安全测试魔力象限评为领导品牌