Tutustu vasemman reunan suojaukseen
Menetelmää vasemmalle siirtymiseen vasemmalle suositellaan paitsi testauksen osalta. Sama ajatus ulottuu turvallisuuden alueelle. DevSecOpsin periaatteet on tarkoitettu välittämään suojauksen sisällyttämisen merkityksestä DevOpsin kaikissa vaiheissa (alkaen suunnittelusta ja kehittämisestä), tavalla, jota joskus kutsutaan nimellä Jatkuva suojaus. Malliskenaariossamme kuvattu organisaatio on hyvin tietoinen näiden periaatteiden huomiotta jättämisen vaikutuksista. Tutustu tässä osiossa vasemmalle siirtyvien merkitykseen suojauksessa ja suositeltuihin tapoihin ottaa se käyttöön.
Mitä on vaihtovasemmalla oleva suojaus?
Suojauksen yhteydessä vaihtovasemmisto tarkoittaa suojaustoimien käyttöönottoa mahdollisimman aikaisessa vaiheessa ohjelmiston elinkaariprosesseja. Tämä alkaa suojauksen sisällyttämisestä ohjelmistorakenteeseen käyttämällä uhkien mallinnusta mahdollisten tulevien uhkien tunnistamiseksi, riskien arvioimiseksi ja lieventävien strategioiden määrittelemiseksi. Prosessi jatkuu koko ohjelmistokehityksen ajan ottamalla käyttöön erilaisia suojaukseen liittyviä toimintoja, kuten kooditarkistuksia ja automatisoituja suojaustestauksia. Kooditarkastuksien tulee sisältää tietoturvakeskeisiä arviointeja, tietoturvavirheisiin, koodausstandardien noudattamiseen ja mahdollisiin haavoittuvuuksiin liittyviä arviointeja. Automatisoitu suojaustestaus sisältää esimerkiksi staattisen sovelluksen suojaustestauksen (SAST), dynaamisen sovelluksen suojaustestauksen (DAST) ja ohjelmistokoosteanalyysin (SCA), jotka on integroitu jatkuvaan integroinnin/jatkuvan käyttöönoton (CI/CD) jaksoihin.
Jatkuva valvonta, joka on osa jatkuvaa suojausta, on toinen vasemmalle siirtymiseen sopiva elementti. Sen toteutukseen kuuluu kirjaamisen, seurannan ja tapausten käsittelyn mekanismien soveltaminen kehitystyön alusta lähtien.