Переосмысление DevSecops: безопасность программного обеспечения для безопасности программного обеспечения

Гитлаб спонсировал этот пост.

На протяжении более десяти лет Devsecops пообещал повысить безопасность, удаляя бункеры между командами по разработке, безопасности и операциям. Сделано правильно, этот подход интегрирует безопасность на протяжении всего жизненного цикла развития, увеличивая скорость, снижая затраты и снижая инциденты безопасности.

Тем не менее, организации часто думают, что они «делают Devsecops», когда они просто создали новые команды (Dev, SEC и OPS) и привносят новые инструменты безопасности, которые не могут достичь интегрированного, управляемого процесса. Список инструментов безопасности (SAST, DAST, SCA, CSPM) создает гору выводов уязвимости, используя целые команды безопасности для управления. Точно так же разработчики просеивают разочаровывающее количество шума.

Организации не виноваты. Индустрия безопасности продвигает больше инструментов идентификации проблем без улучшения качества организационных процессов или рабочего процесса, чтобы получить лучшие результаты. Безопасность, которая поверхностно добавлена к существующим процессам, а не к действительно интегрированной, создает значительное оперативное бремя в рабочих процессах разработки. Это DevOps + Security — не по -настоящему DevSecops.

Результатом является то, что более ценным временем разработчика потребляется понимание и исправление проблем, в то время как уязвимости, сознательно или неосознанно, передают трубопроводы в производство. Этот цикл неэффективной и в значительной степени неэффективной практики безопасности в сочетании с постоянным напряжением между скоростью развития и требованиями безопасности приводит к выгоранию как среди команд безопасности, так и в области разработки.

Почему безопасность цепочки программного обеспечения имеет значение

Вместо этого организации должны сближать проектирование платформы и команды по безопасности продуктов в общие процессы в качестве пути вперед. Это способствует более тщательному сотрудничеству и общему пониманию всего жизненного цикла системы, что позволяет командам интегрировать безопасность как практику непосредственно в эти общие процессы таким образом, чтобы разработчик ориентирован и органично для команд, которые они обслуживают. Благодаря безопасности, вплетенной в структуру организации, инструменты служат механизмом обеспечения после использования безопасных практик, а также для идентификации проблем, а не полагаются в качестве основного контроля безопасности.

Тяплатизированный, повторяемый процесс подход, основанный на сотрудничестве между платформой и группами безопасности, приводит к фундаментальному сдвигу в том, как команды думают о своих целях. Они переходят от концепции безопасности, которая обещает государство, свободное от опасности или угрозы, к безопасности, которая фокусируется на создании систем, от которых защищено и вряд ли создает опасность. Этот сдвиг подчеркивает упреждающее снижение риска посредством вдумчивых, многократных моделей проектирования и реализации, а не реактивного смягчения угроз.

Строительные блоки безопасности цепочки поставок

Следующие процессы, независимые от инструментов, представляют собой строительные блоки для систем, которые повышают безопасность инфраструктуры и первоклассных приложений. Хотя эти элементы управления не гарантируют нулевые проблемы безопасности, они значительно снижают возможности, улучшая кодексы и стандарты безопасности инфраструктуры.

Инфраструктура Guardrails: Платформы инженерная практика предоставляет стандартизированные шаблоны для развертывания безопасных компонентов инфраструктуры, что позволяет разработчикам сосредоточиться на разработке приложений. Эти шаблоны обеспечивают соблюдение мер безопасности, такие как шифрование и ведение журнала, предотвращение общих ошибок облака и обеспечение наблюдения за безопасностью.
Языковые функции и структуры: Современные языки программирования предлагают встроенные функции безопасности, которые помогают уменьшить уязвимости при правильном использовании. Включение таких функций, как автоматизированное управление памятью и строгая проверка типов может предотвратить многие потенциальные проблемы безопасности.
Снижение труда через генерацию и рефакторинг: Автоматизированные инструменты могут идентифицировать уязвимые библиотеки и зависимости, что позволяет облегчить исправление с помощью шаблонов и минимальных базовых изображений. Используя ИИ для анализа кода и рефакторинга, разработчики могут устранить ненужные зависимости, уменьшая поверхность атаки и бремя обслуживания.
Абстрактные функции безопасности: Прокси -прокси -сидовой автомобиль безопасности обрабатывают аутентификацию и авторизацию в разных приложениях, обеспечивая общение только авторизованные услуги. Сервисная плоскость управления сеткой может использоваться для управления элементами управления доступа в центре, уменьшая сложность кода приложения, при постоянном обеспечении безопасности.
Управление программным обеспечением: Такие правила, как защита филиалов и двойное утверждение, могут быть программно применяются, чтобы обеспечить слияние нескольких членов команды, прежде чем объединить код. Эти политики, определенные в машиночитаемых форматах, должны применяться платформой CI для поддержания постоянной безопасности в разных проектах.
Человеческий фактор: sUccessful DevSecops требуют выравнивания стимулов и интеграции безопасности в рабочий процесс разработки. Содействуя сотрудничеству посредством обучения, общих метрик и регулярных встреч в перекрестной команде, команды могут сократить операционное бремя и вместе повысить устойчивость программного обеспечения.

Внедрение стратегического инструмента

Приведенные выше рекомендации сосредоточены на улучшении инженерных практик, которые являются основой стоимости DevSecops. После того, как команды вложили инвестирование в эти основы, инструменты могут предоставить проверку обеспечения в зависимости от безопасности. Например, организации могут использовать прокси-серверы зависимости для создания контролируемой среды, в которой все сторонние пакеты автоматически сканируются, проверены и кэшируются до достижения среды разработки.

Инструменты безопасности также должны быть стратегически интегрированы в трубопроводы CI, используя многоуровневый подход сканирования, который уравновешивает скорость и тщательность. Высокие, быстрые проверки, такие как обнаружение секретов, анализ программного состава (SCA) и правила на заказ для обеспечения анти-паттернов, должны выполняться на каждом коммите и применяются системой CI.

Дорожная карта под руководством процесса к будущему успеху

Результаты между продуктами безопасности и безопасности продукта сильно различаются, причем последняя производит гораздо большую ценность. Вместо того, чтобы продолжать сдвигать обязанности, команды разработчиков должны принять парадигму безопасности платформы. Строив безопасность непосредственно в общие процессы и операции, команды разработчиков могут масштабироваться, чтобы удовлетворить свои потребности сегодня и в будущем.

Только после того, как эти сильные основы были установлены, если команды работают в регулярном управлении инструментами безопасности для обеспечения и идентификации проблем. Этот подход, в сочетании с выровненными стимулами и подлинным сотрудничеством между командами, создает более устойчивый путь для обеспечения разработки программного обеспечения, который работает в масштабе.

Gitlab является самой полной платформой Devsecops с AI Devsecops для инноваций в программном обеспечении. Gitlab позволяет организациям повысить производительность разработчиков, повысить эффективность эксплуатации, снизить риск безопасности и соответствия, а также ускорить цифровые преобразования. Узнайте больше последних из Gitlab Trending Stories YouTube.com/ThenewStack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Джош Лемос является главным информационным безопасностью в Gitlab Inc., где он приносит 20 -летний опыт ведущего команд информационной безопасности на свою роль. Джош возглавил команды безопасности в многочисленных технологических компаниях с высоким ростом, включая ServiceNow, Cylance и совсем недавно … Подробнее от Josh Lemos

Разработка сайтов в Гомеле

Добавить комментарий Отменить ответ

Похожие записи

Кодирование Vibe быстро изменяет профессию разработчика программного обеспечения

Облачный сервис: что папа думает об искусственном интеллекте

Ускорение скорости разработчика с эффективными командами платформы

Приквел: программные ошибки исчезли

Дизайн движения: уловка Frontend или критическая миссия?

Почему наблюдение с мультиколом так дорого?

Являются ли дни облачных тестирования платформ?

Линус Торвальдс размышляет за 20 лет git

Ubuntu Plucky Puffin, последний краткосрочный релиз Canonical, Stellar

Практическая дорожная карта для принятия кодирования атмосфера

Использовать kubernetes затраты с Opencost

ИИ будет украсть работу разработчика (но не то, как вы думаете)

Вам тоже может быть интересно:

Изменить агент

Новое учреждение способствует междисциплинарным биомедицинским исследованиям

Практическая инженерия

Празднование ученых -факультетов

Идеальное совпадение (скорость)

Создание сети SGAS

Будущий прогноз

Добро пожаловать, новый факультет!

Семинар по городу как лаб сажает семена на будущее устойчивости города

UREP Spotlights Инновационные исследования студентов

Создание места для всех

Студенческий профиль: Бриттани Тейлор