גלה את האבטחה משמאל למשמרת
מומלץ ההזזה שמאלה ולא רק לבדיקה. אותו רעיון מתרחב לתחום האבטחה. העקרונות של DevSecOps נועדו להעביר את המובהקות של שילוב אבטחה בכל שלב של DevOps (החל מתכנון ופיתוח), באופן שנקרא לעתים רציף. הארגון המתואר בתרחיש לדוגמה שלנו מודע היטב להשלכות של התעלמות מעקרונות אלה. ביחידה זו, בחנו את המשמעות של ימין ושמאל לגישה לאבטחה ולדרכים המומלצות ליישום.
מהי אבטחה משמאל למשמרת?
בהקשר של אבטחה, Shift-left מתורגם ומציג פעילויות אבטחה מוקדם ככל האפשר בתהליכי מחזור החיים של התוכנה. הדבר מתחיל בשילוב אבטחה בעיצוב תוכנה באמצעות מידול איומים כדי לזהות איומים עתידיים פוטנציאליים, להעריך סיכונים ולהגדיר אסטרטגיות צמצום סיכונים. התהליך ממשיך לאורך כל פיתוח התוכנה על-ידי יישום מגוון של פעילויות הקשורות לאבטחה כגון ביקורות קוד ובדיקות אבטחה אוטומטיות. ביקורות קוד צריכות לכלול הערכות הממוקדת באבטחה, ליקויים באבטחה, צייתו לתקני קידוד ופגיעויות פוטנציאליות. בדיקות אבטחה אוטומטיות כרוכות במשימות כגון בדיקות אבטחה סטטיות של יישומים (SAST), בדיקות אבטחת יישומים דינאמיות (DAST) וניתוח קומפוזיציית תוכנה (SCA), שמשולבות בצינורות שילוב רציף/פריסה רציפה (CI/CD).
ניטור רציף, שהוא חלק מאבטחה רציפה, הוא רכיב נוסף המתאים לגישה שמשמאל למשמרת. היישום כולל החלת מנגנוני רישום, ניטור ותגובה לתקריות מתחילת הפיתוח.