Explorer la sécurité shift-left
L’approche shift-left n’est pas seulement recommandée dans le cadre de tests. La même idée s’étend dans le domaine de la sécurité. Les principes de DevSecOps sont destinés à transmettre l’importance de l’incorporation de la sécurité dans chaque phase de DevOps (à partir de la planification et du développement), de la manière parfois appelée sécurité continue. L’organisation décrite dans notre exemple de scénario est bien consciente des implications de l’ignorance de ces principes. Dans cette unité, examinez la signification de la méthode shift-left pour la sécurité et les méthodes recommandées pour la mettre en œuvre.
Qu’est-ce que la sécurité shift-left ?
Diagramme illustrant les aspects de la sécurité "shift-left", incluant Dev, Ops, SDL et OSA.
Dans le contexte de la sécurité, l'approche shift-left se traduit par l’intégration d’activités de sécurité aussi tôt que possible dans les processus de cycle de vie logiciel. Cela commence par intégrer la sécurité dans la conception logicielle à l’aide de la modélisation des menaces afin d’identifier les menaces futures potentielles, d’évaluer les risques et de définir des stratégies d’atténuation. Le processus continue tout au long du développement logiciel en implémentant une gamme d’activités liées à la sécurité, telles que les révisions de code et les tests de sécurité automatisés. Les révisions de code doivent inclure des évaluations axées sur la sécurité, cibler des failles de sécurité, respecter les normes de codage et les vulnérabilités potentielles. Les tests de sécurité automatisés impliquent des tâches telles que les tests de sécurité des applications statiques (SAST), les tests de sécurité des applications dynamiques (DAST) et l’analyse de composition logicielle (SCA), qui sont intégrées aux pipelines d’intégration continue/de déploiement continu (CI/CD).
La surveillance continue, qui fait partie de la sécurité continue, est un autre élément adapté à l’approche shift-left. Sa mise en œuvre implique l’application de mécanismes de journalisation, de surveillance et de réponse aux incidents dès le début du développement.