本文共 2046 字,大约阅读时间需要 6 分钟。
devsecops
关于是否需要扩展以显式引入安全性的争论一直在持续。 , 一直是使用新工具(通常是开源)并建立在更具协作性的文化基础上的一系列新实践的简写形式。 为什么不使用更好地满足业务需求? 还是DevChatOps强调更好,更快的通信?
但是, 术语时 “希望有一天,我们将拥有一个世界,不再需要使用DevSecOps这个词,安全性将成为所有服务交付讨论的固有组成部分。 直到那天,在这一点上,我的总体结论是,这只是三个新角色。 更重要的是,在我们这个行业在信息安全方面做得不好的世界中,这个名称确实使问题陈述与众不同。”
那么,为什么我们在方面做得不好呢?在DevSecOps上下文中做出色的工作意味着什么?
尽管有(也许是由于)庞大的复杂点产品行业解决了狭窄的问题,但我们可以说从未做过出色的信息安全工作。 但是,在防御以保护外围安全为目标的威胁,网络连接受到限制以及大多数用户都是使用公司提供的设备的员工的时代,我们可以说做得很好。
多年来,这些情况并未准确描述大多数组织的现实。 但是,当前的时代不仅带来了DevSecOps,而且带来了新的应用程序体系结构模式,开发实践以及越来越多的威胁,它定义了一个全新的常态,需要更快的变革步伐。 隔离中的DevSecOps并不会改变安全性,但2018年左右的信息安全需要新的方法。
考虑这五个领域。
通常,大量的自动化是DevOps的标志。 部分原因在于速度。 如果您要快速行动(而不是破坏事情),则需要具有可重复执行的流程,并且无需太多人工干预。 确实,自动化是DevOps的最佳切入点之一,即使在仍主要从事整体式遗留应用程序工作的组织中。 使用等易于使用的工具来自动执行与配置或测试相关的例行流程, 是快速启动DevOps的常见途径。
DevSecOps也不例外。 当今的安全性是一个连续的过程,而不是应用程序生命周期中的离散检查点,甚至是每周或每月的检查。 当发现漏洞并由供应商发布修复程序时,重要的是要尽快应用这些漏洞,因为利用这些漏洞的漏洞很快就会消失。
在开发过程结束时,传统安全通常被视为看门人。 选中所有复选框,您的应用将投入生产。 否则,请重试。 安全团队无话可说。
因此,思考的原因是,为什么不更早地移动安全性(在典型的开发管线的从左到右的图中为左)? 安全性可能仍然拒绝,但是在早期开发中进行返工的后果要比应用程序完成并准备好交付时要少得多。
不过,我不喜欢“左移”一词。 这意味着安全性仍然是一次性事件,只是早先被转移了。 从供应链到开发和测试过程,再到部署,安全性在整个应用程序生命周期的任何地方都必须是一个高度自动化的过程。
我们在现代应用程序开发中看到的一大变化是,您通常不会编写大多数代码。 使用开源库和框架就是一个明显的例子。 但是您也可以只使用来自公共云提供商或其他来源的外部服务。 在许多情况下,这种外部代码和服务会使您自己编写的内容相形见war。
因此,DevSecOps需要认真关注您的 。 您是否从受信任的来源获得软件? 是最新的吗? 它是否已集成到您用于自己的代码的安全性流程中? 您对可以使用哪些代码和API制定了哪些政策? 是否为您用于自己的生产代码的组件提供了商业支持?
在所有情况下,没有一套合适的答案是合适的。 对于概念验证与大规模生产工作负载,它们可能有所不同。 但是,就像很长一段时间的制造情况一样(DevSecOps在制造发展方面有很多类似物),供应链的完整性至关重要。
我在应用程序生命周期的所有阶段都谈到了自动化的需求。 这就假设我们可以看到每个阶段的进展。
有效的DevSecOps需要有效的检测手段,以便自动化知道该怎么做。 该仪器分为许多类别。 有长期和高级的指标可以帮助我们了解整个DevSecOps流程是否运行良好。 有些紧急警报需要立即进行人工干预(安全扫描系统已关闭!)。 有些警报(例如扫描失败)需要进行补救。 并且有许多我们捕获的参数的日志,以供以后分析(随着时间的变化是什么?导致故障的原因是什么?)。
尽管DevSecOps实践可应用于多种类型的应用程序体系结构,但它们对于小型且松散耦合的组件最为有效,这些组件可以进行更新和重用,而不必在应用程序的其他位置进行强制更改。 这些组件以其最纯粹的形式可以是或功能,但是一般原理适用于通过网络进行通信的松散耦合的服务。
这种模式确实带来了一些新的安全挑战。 组件之间的交互可能很复杂,总攻击面可能会更大,因为现在网络上有更多的应用程序入口点。
另一方面,这种类型的体系结构也意味着自动化的安全性和监视功能还具有对应用程序组件的更细粒度的可见性,因为它们不再深埋在单片应用程序中。
不要对DevSecOps术语抱有太大的了解,但可以提醒我们,安全性正在不断发展,因为我们编写和部署应用程序的方式正在不断发展。
翻译自:
devsecops
转载地址:http://brczd.baihongyu.com/