Udforsk sikkerhed ved skift til venstre
Den tilgang til skift til venstre anbefales ikke kun med hensyn til test. Den samme idé omfatter området sikkerhed. Principperne for DevSecOps er beregnet til at formidle betydningen af at inkorporere sikkerhed i alle faser af DevOps (startende med planlægning og udvikling) på den måde, der nogle gange kaldes Continuous Security. Den organisation, der er beskrevet i vores eksempelscenarie, er velbevidst om konsekvenserne af at ignorere disse principper. I dette undermodul skal du undersøge betydningen af skift til venstre tilgang til sikkerhed og de anbefalede måder at implementere den på.
Hvad er vagt-venstre sikkerhed?
I forbindelse med sikkerhed betyder skift til venstre at indføre sikkerhedsaktiviteter så tidligt i softwarelivscyklusprocesserne som muligt. Dette starter med at inkorporere sikkerhed i softwaredesign ved hjælp af trusselsmodellering for at identificere potentielle fremtidige trusler, vurdere risici og definere afhjælpningsstrategier. Processen fortsætter gennem softwareudvikling ved at implementere en række sikkerhedsrelaterede aktiviteter, f.eks. kodegennemgange og automatiserede sikkerhedstest. Kodegennemgange bør omfatte sikkerhedsfokuserede vurderinger, målrettet sikkerhedsfejl, overholdelse af kodningsstandarder og potentielle sårbarheder. Automatiseret sikkerhedstest omfatter opgaver som sast (static application security testing), DAST (Dynamic Application Security Testing) og SCA (Software Composition Analysis), som er integreret i kontinuerlig integration/kontinuerlig udrulning (CI/CD) pipelines.
Kontinuerlig overvågning, som er en del af kontinuerlig sikkerhed, er et andet element, der egner sig til skift-venstre-tilgangen. Dens implementering omfatter anvendelse af logførings-, overvågnings- og hændelsessvarmekanismer fra starten af udviklingen.