This is the Trace Id: 14bd7a5d942c6319c305e80c4ee366c7
Preskoči na glavni sadržaj
Microsoft Security

Što je DevSecOps?

Saznajte kako integrirati sigurnosne prakse u svaku fazu životnog ciklusa razvoja softvera u cijelom okruženju s više oblaka.

Otkrijte Microsoft Defender za DevOps

Definicija rješenja DevSecOps

DevSecOps, kratica za razvoj, sigurnost i operacije, okruženje je koje integrira sigurnost u sve faze životnog ciklusa razvoja softvera. Tvrtke ili ustanove usvajaju taj pristup da bi smanjile rizik od objavljivanja koda sa sigurnosnim ranjivostima. Putem suradnje, automatizacije i jasnih procesa timovi dijele odgovornost za sigurnost, umjesto da sve ostave za kraj kada rješavanje problema može biti mnogo složenije i skuplje. DevSecOps ključna je komponenta sigurnosne strategije u okruženju s više oblaka.

Usporedba rješenja DevSecOps i DevOps

U tradicionalnom razvoju softvera projekti su podijeljeni u različite faze za planiranje, dizajn, razvoj, integraciju i testiranje, koje se događaju sekvencijalno tijekom nekoliko mjeseci ili čak godina. Iako je taj pristup vrlo metodičan, mnogim je tvrtkama ili ustanovama prespor, jer otežava zadovoljavanje očekivanja klijenata u pogledu trajnih poboljšanja proizvoda. Osim toga, sigurnost se obično aktivira na kraju, što tvrtkama predstavlja rizik od kršenja sigurnosti.

Da bi ostale konkurentne, mnoge su tvrtke usvojile DevOps model koji daje prioritet isporuci manjih paketa visokokvalitetnog koda umjesto projekata obogaćenih značajkama čija izrada traje dulje. U tom okruženju timovi za razvoj softvera i operacije surađuju na uključivanju testiranja i integracije u cijelom procesu. Automatizacija, standardizirani procesi i suradnja pomažu timovima da brzo rade bez narušavanja kvalitete.

DevSecOps je poboljšanje rješenja DevOps koje ugrađuje sigurnost u sve aspekte procesa. Cilj je riješiti sigurnosne probleme od početka projekta. U tom okruženju cijeli tim preuzima odgovornost kako za osiguranje kvalitete i integraciju koda, tako i za sigurnost. U praksi to znači da timovi raspravljaju o sigurnosnim implikacijama tijekom planiranja i započinju testiranje sigurnosnih problema u razvojnim okruženjima umjesto da čekaju do kraja. Drugi naziv za taj pristup je sigurnost u ranijoj fazi.

Zašto je važno rješenje DevSecOps?

Postoje brojne metode koje napadači koriste za pristup podacima i resursima tvrtke ili ustanove, ali uobičajena taktika je zloupotreba ranjivosti u softveru. Te su vrste kršenja skupe, dugotrajne i, ovisno o ozbiljnosti, štetne za reputaciju tvrtke. Okruženje DevSecOps smanjuje rizik implementacije softvera s pogrešnim konfiguracijama i drugim ranjivostima koje zlonamjerni korisnici mogu iskoristiti.

Glavne komponente rješenja DevSecOps

Uspješan proces rješenja DevSecOps obuhvaća sljedeće komponente:

Neprekidna integracija

Uz neprekidnu integraciju razvojni inženjeri izvršavaju kod u središnji repozitorij više puta dnevno. Zatim se kod automatski integrira i testira. Taj pristup timovima omogućuje da na vrijeme primijete probleme s integracijom i programskim pogreškama umjesto da čekaju do kraja kada bi moglo biti nekoliko problema koje je potrebno riješiti.

Neprekidna isporuka

Neprekidna isporuka nadograđuje se na neprekidnu integraciju radi automatizacije procesa premještanja koda iz okruženja međuverzije u probno okruženje. Kada je u probnom okruženju, osim testiranja jedinica, softver se automatski testira da bi se provjerilo funkcioniranje korisničkog sučelja, uspješna integracija koda, pouzdanost API-ja i može li podnijeti očekivanu količinu prometa. Cilj tog pristupa je dosljedna isporuka koda spremnog za proizvodnju koji klijentima pruža vrijednost.

Neprekidna sigurnost

Ugradnja sigurnosti u cijeli životni ciklus razvoja softvera ključna je komponenta rješenja DevSecOps. To obuhvaća modeliranje prijetnji početkom procesa i automatizirano sigurnosno testiranje tijekom cijelog životnog ciklusa, počevši od okruženja razvojnih inženjera. Ranim i učestalim temeljitim testiranjem softvera na sigurnosne probleme tvrtke ili ustanove mogu učinkovito isporučiti softver s minimalnim problemima.

Komunikacija i suradnja

DevSecOps ovisi o bliskoj suradnji pojedinaca i timova. Neprekidna integracija zahtijeva da osobe surađuju na otklanjanju sukoba u kodu, a timovi moraju učinkovito komunicirati da bi se ujedinili oko istih ciljeva.

Kako implementirati DevSecOps

Dodavanje sigurnosti u proces rješenja DevOps zahtijeva pažljivo planiranje. Započnite polako s procesima koji uzrokuju najmanje poteškoća za tim i za koje je sigurnost najvažnija. Evo nekoliko načina za dodavanje sigurnosti uobičajenom sprintu rješenja DevOps.

Planiranje i razvoj

Ranim uvođenjem sigurnosti u razvojne sprintove smanjuju se ranjivosti u kasnijoj fazi i štedi se vrijeme jer je lakše riješiti probleme prije nego što se kod izradi i integrira. Tijekom planiranja i razvoja koristite modeliranje prijetnji da biste identificirali i ublažili potencijalne prijetnje za aplikaciju. To će vam pomoći da sigurnost ugradite u aplikaciju od početka. Da biste otkrili sigurnosne probleme prije nego što se kod izvrši u zajednički repozitorij, implementirajte automatizirane provjere kao što su sigurnosni programski priključci integriranog razvojnog okruženja, koji razvojnim inženjerima odmah daju povratne informacije ako postoji potencijalni sigurnosni rizik u kodu koji su napisali. Tijekom pregleda koda neka netko sa sigurnosnim stručnim znanjima pruži preporuke za poboljšanja.

Izvršavanje koda

Jedna od ključnih stavki uspješnog procesa rješenja DevSecOps je neprekidna integracija. Razvojni inženjeri obično nekoliko puta dnevno izvršavaju svoj kod u središnji repozitorij da bi rano primijetili probleme s integracijom. U ovu je fazu važno dodati automatizirane sigurnosne provjere. To može obuhvaćati skeniranje biblioteka i zavisnosti trećih strana, testiranje jedinica i statičko testiranje sigurnosti aplikacije. Važno je i implementirati kontrole pristupa utemeljene na ulogama radi zaštite neprekidne integracije i infrastrukture neprekidne isporuke od napadača koji žele pokrenuti zlonamjerni kod ili ukrasti vjerodajnice.

Izgradnja i testiranje

Pokretanje automatiziranih sigurnosnih skripti u testnom okruženju pomaže otkriti potencijalne probleme koji prethodno nisu otkriveni. Neki sigurnosni testovi koje možete pokrenuti tijekom te faze obuhvaćaju dinamičko testiranje sigurnosti aplikacija, skeniranje infrastrukture, skeniranje spremnika, provjeru konfiguracije oblaka i testiranje sigurnosnog prihvaćanja.

Proizvodnja

Kada se aplikacija implementira u proizvodnju, neke se tvrtke ili ustanove angažiraju u testiranju proboja zaštite da bi pokušale pronaći nedostatke u okruženju uživo. U testiranju proboja zaštite osobe se ponašaju poput napadača i pretražuju načine za kršenje sigurnosti aplikacije.

Operacija

Čak i najbolji proces rješenja DevSecOps neće sve pronaći, stoga je ključno neprekidno nadzirati aplikacije radi prepoznavanja ranjivosti i prijetnji. Analitički podaci mogu vam pomoći procijeniti poboljšava li se stanje sigurnosti i istaknuti područja za optimizaciju.

Alati i tehnologije rješenja DevSecOps

Prilikom odabira sigurnosnih alata važno je odabrati one koji dobro funkcioniraju s trenutnom tehnologijom rješenja DevOps. To će olakšati ugradnju sigurnosti u cijeli proces. U nastavku je nekoliko vrsta alata koje ćete možda trebati:

Infrastruktura kao skeniranje koda

Da bi poboljšali svoju učinkovitost, timovi za DevSecOps obično koriste alate otvorenog koda kao što je Terraform za upravljanje i pripremanje infrastrukture kao što su mreže, virtualna računala i raspoređivanje opterećenja putem koda, a ne ručno. Terraform omogućuje dosljedno postavljanje i ažuriranje infrastrukture na stotinama ili tisućama poslužitelja. Da bi se smanjio rizik od implementacije pogrešnih konfiguracija u radno okruženje, alati za skeniranje infrastrukture kao koda automatski provjeravaju infrastrukturu na razini koda radi pronalaska neusklađenosti sa sigurnosnim pravilnicima i standardima.

Statičko testiranje sigurnosti aplikacija

Razvojni inženjeri rješenja DevSecOps prije sastavljanja koda započinju testiranje prilagođenog koda radi pronalaženja ranjivosti. To im pomaže riješiti probleme bez utjecaja na međuverziju. Alati za statičko testiranje sigurnosti aplikacija olakšavaju proces uz automatske provjere i povratne informacije u stvarnom vremenu. Mnogi alati točno prepoznaju koji je kod riskantan i nude predložene popravke.

Analiza sastavljanja softvera

Jedan od načina na koji timovi učinkovitije izgrađuju aplikacije i značajke je korištenje programskih priključaka i okruženja trećih strana. Ti unaprijed stvoreni alati štede vrijeme, ali mogu i predstavljati rizike, kao što su problemi s licenciranjem, loše napisan kod ili sigurnosne ranjivosti. Alati za analizu sastavljanja softvera identificiraju komponente otvorenog koda u aplikacijama i procjenjuju ih u odnosu na privatne ili besplatne baze podataka radi otkrivanja kršenja licenci, kao i problema sa sigurnošću i kvalitetom.

Interaktivno testiranje sigurnosti aplikacija

Tijekom testiranja osiguranja kvalitete ili prilikom korištenja aplikacije interaktivni sigurnosni alati za aplikacije skeniraju kod da bi pronašli ranjivosti i pružili izvješća koja identificiraju gdje se problem nalazi u kodu.

Dinamičko testiranje sigurnosti aplikacija

Dinamičko testiranje sigurnosti aplikacija emulira metode koje zlonamjerni korisnik može koristiti za napad na aplikaciju. Ovo se testiranje izvodi dok je aplikacija pokrenuta i temelji se na unaprijed definiranim slučajevima korištenja.

Skeniranje spremnika

Spremnici se često koriste u rješenju DevSecOps jer razvojni inženjeri mogu jednostavno implementirati samoposlužne jedinice koda. Unutar spremnika nalazi se slika spremnika koja obuhvaća kod koji pokreće procese za spremnik. Međutim, te se slike često izgrađuju pomoću postojećih slika ili se povlače iz javnih repozitorija. Alati za skeniranje spremnika skeniraju spremnike i uspoređuju ih s javnim ili privatnim bazama podataka ranjivosti radi otkrivanja potencijalnih sigurnosnih problema.

Najbolje prakse rješenja DevSecOps

DevSecOps odnosi se na promjenu kulture koliko i na procese i alate. Evo nekoliko najboljih praksi koje će olakšati implementaciju tog okruženja.

Promjena kulture

Budite svjesni toga da je osobama možda teško promijeniti način rada, što može dovesti do sukoba. Da biste im pomogli da se prilagode, jasno objasnite ciljeve i očekivanja tvrtke ili ustanove, pružite mnogo prilika za otvoreni dijalog i očekujte da ćete morati biti fleksibilni dok timovi ne pronađu alate, proces i ritam koji najbolje funkcioniraju za njih.

Definiranje preduvjeta i metrike

Uspostavite polazište za minimalnu sigurnost. Smjernice potražite u preduvjetima djelatnosti ili regulatornim preduvjetima ili dokumentu o ključnim rizicima za web-aplikacije Top Ten fondacije Open Worldwide Application Security Project® (OWASP) i web-mjestu Top 25 software errors instituta SANS. Kada definirate preduvjete, odredite koju metriku želite pratiti da biste lakše pratili napredak.

Postupno uvođenje

Alati za automatizaciju sigurnosti nude brojne mogućnosti za provjeru problema u kodu, ali uključivanje svih mogućnosti, osobito početkom prihvaćanja rješenja DevSecOps, može biti prezahtjevno za vaš tim. Dobro razmislite o tome koje alate ćete primijeniti i koliko problema ćete pretraživati.

Izvođenje modeliranja prijetnji

Razvijajte proces modeliranja prijetnji koji može biti jednostavan ili detaljan i tehnički koliko god vam je to potrebno. Pomoću tog pristupa dokumentirajte realističan sigurnosni prikaz aplikacije koji obuhvaća:

  • Kako napadači mogu zloupotrebljavati dizajn aplikacije.
  • Kako riješiti ranjivosti.
  • Prioritet različitih problema.

Implementacija automatizacije

Automatizacija je ključna za omogućavanje kvalitete i brzine u procesu rješenja DevSecOps. Ugrađivanjem automatiziranih sigurnosnih skeniranja tijekom svih faza neprekidne integracije i neprekidnog životnog ciklusa isporuke moći ćete poboljšati sigurnost aplikacija bez znatnog usporavanja procesa.

Upravljanje zavisnostima

Većina razvojnih inženjera koristi pakete i biblioteke trećih strana za učinkovitu izgradnju aplikacija. Problem je u tome što neka od tih rješenja imaju sigurnosne pogreške, a razvojni inženjeri ih ne ažuriraju uvijek pravovremeno. Da biste smanjili rizik, provjerite jesu li komponente koje koristite provjerene za sigurnosne rizike i razvijte standardizirani proces za njihovo ažuriranje.

Procjena i poboljšanje

Redovito procjenjujete kako proces funkcionira i prilagodite ga prema potrebi da biste bili sigurni da vaša tvrtka ili ustanova postiže svoje ciljeve. Retrospektiva nakon dovršetka sprinta može pomoći u otkrivanju prilika za poboljšanje. Analitički podaci i obavještavanje o prijetnjama također vam mogu pomoći da utvrdite postoje li sigurnosne potrebe koje vaš trenutni pristup ne ispunjava.

DevSecOps za aplikacije u oblaku

Aplikacije u oblakuAplikacije u oblaku projektirane su za oblak i obično nisu od određenog dobavljača, što im omogućuje prijenos iz jednog oblaka u drugi. Osmišljene da bi bile iznimno skalabilne i otporne, razvojni timovi obično ih izgrađuju pomoću mikroservisa, spremnika i automatizacije, što ih čini idealnim za proces rješenja DevSecOps. Ugradnja neprekidne sigurnosti, integracije i isporuke u razvojni proces za aplikacije u oblaku omogućuje skalabilnost bez ugrožavanja sigurnosti. Koristite automatizirana sigurnosna rješenja kao što je Microsoft Defender za DevOps da biste lakše zaštitili kod i cijeli kanal rješenja. Kada implementirate aplikaciju u oblak, nastavite pratiti rizike. Platforme za zaštitu radnog opterećenja u oblaku (CWPP)Platforme za zaštitu radnog opterećenja u oblaku (CWPP) pomažu u zaštiti tih aplikacija i temeljnih podataka otkrivanjem i ublažavanjem prijetnji radnim opterećenjima u okruženjima s više oblaka. Rješenja za Upravljanje stanjem sigurnosti u oblaku (CSPM)upravljanje stanjem sigurnosti u oblaku (CSPM) otkrivaju i otklanjaju pogreške i ranjivosti u cijelom okruženju.

Saznajte više o rješenju Microsoft Security

Microsoft Defender for Cloud

Zaštite okruženja s više oblaka i hibridna okruženja od razvoja do izvođenja uz sveobuhvatnu platformu za zaštitu aplikacija u oblaku.

Saznajte više

Microsoft Defender for Cloud Apps

Modernizirajte način na koji štitite aplikacije, zaštitite podatke i unaprijedite stanje sigurnosti aplikacija pomoću rješenja SaaS.

Saznajte više

Microsoft Defender za upravljanje stanjem sigurnosti u oblaku

Usredotočite se na najveće rizike u okruženju s više oblaka uz kontekstno upravljanje stanjem sigurnosti u oblaku.

Saznajte više

Microsoft Defender za DevOps

Nabavite rješenje za objedinjeno upravljanje sigurnošću za DevOps u okruženju s više oblaka i okruženju s više kanala.

Saznajte više

Najčešća pitanja

  • DevSecOps je proces koji integrira sigurnost u cijeli životni ciklus razvoja softvera. Tvrtke ili ustanove usvajaju taj pristup da bi smanjile rizik od objavljivanja koda sa sigurnosnim ranjivostima. Putem suradnje, automatizacije i jasnih procesa timovi dijele odgovornost za sigurnost, umjesto da to ostave za kraj kada može biti mnogo teže i skuplje riješiti probleme.

  • DevSecOps je kratica za razvoj, sigurnost i operacije. Odnosi se na proces integracije sigurnosti u sve faze razvoja softvera.

  • Ranija faza pojam je u rješenju DevSecOps koji se odnosi na uvođenje sigurnosnih praksi počevši od samog početka procesa razvoja.

  • Okruženje rješenja DevSecOps obuhvaća neprekidnu integraciju, isporuku i sigurnost. To je metoda u kojoj sigurnost, operacije i sigurnosni timovi surađuju i dijele odgovornost za brzu isporuku kvalitetnog softvera, a istovremeno smanjuje sigurnosne ranjivosti.

  • Ne postoji jedan proces rješenja DevSecOps, nego uobičajeni način na koji osobe pokreću te projekte razdiobom rada u sprintove koji obuhvaćaju sljedeće komponente: planiranje i razvoj, izgradnju i testiranje i proizvodnju. Tijekom cijelog sprinta timovi koriste automatizaciju da bi neprekidno rješavali probleme s osiguranjem kvalitete, integrirali i testirali sigurnosne rizike.

Pratite Microsoft Security