استكشاف أمان shift-left

  • دقيقة واحدة

يوصى بنهج التحول إلى اليسار ليس فقط فيما يتعلق بالاختبار. وتمتد نفس الفكرة إلى مجال الأمن. تهدف مبادئ DevSecOps إلى نقل أهمية دمج الأمان في كل مرحلة من مراحل DevOps (بدءا من التخطيط والتطوير)، بالطريقة التي يشار إليها أحيانا باسم الأمان المستمر. والمنظمة الموضحة في نموذج السيناريو لدينا تدرك جيدا الآثار المترتبة على تجاهل هذه المبادئ. في هذه الوحدة، افحص معنى نهج إزاحة اليسار إلى الأمان والطرق الموصى بها لتنفيذه.

ما هو Shift-left security؟

رسم تخطيطي يوضح أجزاء من أمان shift-left، بما في ذلك Dev وOps وSDL وOSA.

في سياق الأمان، يترجم التحول إلى اليسار إلى إدخال أنشطة الأمان في وقت مبكر من عمليات دورة حياة البرامج قدر الإمكان. يبدأ هذا بدمج الأمان في تصميم البرامج باستخدام نمذجة المخاطر من أجل تحديد التهديدات المستقبلية المحتملة وتقييم المخاطر وتحديد استراتيجيات التخفيف. تستمر العملية خلال تطوير البرامج من خلال تنفيذ مجموعة من الأنشطة المتعلقة بالأمان مثل مراجعات التعليمات البرمجية واختبار الأمان التلقائي. يجب أن تتضمن مراجعات التعليمات البرمجية تقييمات تركز على الأمان، وتستهدف عيوب الأمان، والالتزام بمعايير الترميز، والثغرات الأمنية المحتملة. يتضمن اختبار الأمان التلقائي مهاما مثل اختبار أمان التطبيق الثابت (SAST)، واختبار أمان التطبيقات الديناميكي (DAST)، وتحليل تكوين البرامج (SCA)، والتي يتم دمجها في مسارات التكامل المستمر/النشر المستمر (CI/CD).

تعد المراقبة المستمرة، التي تعد جزءا من الأمان المستمر، عنصرا آخر مناسبا لنهج التحول إلى اليسار. ويشمل تنفيذه تطبيق آليات التسجيل والمراقبة والاستجابة للحوادث منذ بداية التطوير.