DevSecOps вводит безопасность в программный цикл
25 марта 2023 г.Стремление к инновациям и творчеству часто заставляет разработчиков программного обеспечения двигаться с головокружительной скоростью, выпуская новые приложения, обновления и исправления ошибок — бешеный темп, который может привести к надзору за безопасностью.
DevSecOps — сочетание разработчиков, кибербезопасности и операций — это совместный метод, который привносит принципы безопасности приложений в разработку и эксплуатацию программного обеспечения с минимальными трудностями и максимальной гибкостью. Цель? Продукты можно быстро развертывать без ущерба для безопасности приложений.
Добавление безопасности в жизненный цикл программного обеспечения
DevSecOps встраивает безопасность в продукт на каждом этапе процесса разработки и доставки программного обеспечения, по данным аналитической компании DynaTrace, которая выпустила официальный документ по этому вопросу.
«DevSecOps обеспечивает видимость уязвимости кода; это также дает глубокое понимание того, как цель переносит реальную атаку, и как далеко может зайти злоумышленник», — сказали в DynaTrace.
Эдвард Аморозо, генеральный директор TABCyber, сказал, что безопасность операций зависит от того, насколько быстро необходимо вносить изменения.
«Обстоятельства меняются час за часом, минута за минутой или месяц за месяцем? Если это кардиостимулятор, программное обеспечение не обновляется, если это социальные сети, то обновляется», — сказал Аморозо. «Действительно ли мне нужно автоматизировать телеметрию безопасности DevOps для устройства, которое не будет получать обновления программного обеспечения?»
SEE: Почему больше не значит лучше, когда речь идет о решениях для обеспечения безопасности.
Ключевые элементы DevSecOps
Сдвиг влево
По мнению некоторых представителей отрасли, «сдвиг влево» означает выявление уязвимостей кода во время разработки, а не производства — шаг, который является ключевым, потому что в процессе производства становится бесконечно труднее привлекать разработчиков к исправлению после того, как они перешли на другие проекты (Изображение А).
Изображение А
«Сдвиг влево — основной принцип DevSecOps, но мы можем сделать еще один шаг вперед», — сказала Мередит Белл, генеральный директор AutoRABIT, платформы для Salesforce DevSecOps.
«Мы также используем термин «включение» для обозначения практики создания потока общения, при котором обратная связь постоянно поступает между каждым заинтересованным лицом», — добавил Белл.
Белл сказал, что, применяя эту практику, все, кто участвует в проекте, остаются в курсе всех непредвиденных обстоятельств, поэтому путаницы не возникает. «Создается постоянный круг действия, измерения, корректировки и улучшения. Эти циклы обратной связи сужаются и усиливают друг друга, создавая среду, более благоприятную для чистого и безопасного кода», — сказал он.
Автоматизированные процессы
Автоматизация помогает исключить человеческие ошибки из производственной части жизненного цикла программного обеспечения.
По данным аналитической компании DynaTrace, автоматизация является важной частью процесса DevSecOps, поясняется в недавнем техническом документе.
«… Команды должны автоматизировать тестирование, а также рабочие процессы, такие как продвижение программного обеспечения от тестирования к выпуску или занесение кода в репозиторий», — пишет компания в своем отчете.
Амарозо сказал, что многие поставщики предлагают автоматизированные решения. «Большинство людей сказали бы, что автоматизированное лучше, чем нет, непрерывное лучше, чем периодическое, а полное лучше, чем точечное покрытие. И есть по крайней мере 30 компаний, которые делают это с коммерческой точки зрения».
Обеспечение безопасности программного обеспечения проще
Эксперты как в области разработки, так и в области безопасности согласны с тем, что DevSecOps должен привлекать разработчиков к решению задач безопасности. Наир сказал, что традиционная операционная безопасность раньше выполнялась сотрудником по соответствию, который запускал сканирование, находил проблему и сообщал о ней разработчику.
«Через шесть месяцев после его создания это программное обеспечение может быть чужим кодом. Работа с этими подходами, ориентированными на аудит, была инновацией, которая создала то, что мы называем DevSec», — сказал он.
Наир сказал, что разработчики редко сталкиваются с безопасностью на практике.
«В школах информатики не учат безопасности, — сказал он.
Майкл Макгуайр, старший менеджер по программным решениям в Synopsys, согласился.
«Я набил зубы как разработчик и ничего не узнал о безопасном программировании в колледже. Я думаю, что это становится все более актуальной темой, но вы должны понимать, что разработчики, которые сейчас пишут много этого кода, вероятно, не заботятся о безопасности, потому что их этому не учили. Мне, конечно, было все равно. Это потому, что то, насколько хорошо разработчик справляется со своей работой, определяется тем, как быстро он может исправить ошибку или заполнить заявку и качественно выполнить ее», — сказал МакГуайр.
Он сказал, что, поскольку разработчиков просят больше заботиться о безопасности приложений, инструменты должны соответствовать разработчикам там, где они находятся.
«Мы на пути к этому, и есть много вариантов», — сказал Макгуайр.
Оригинал