A bal oldali műszakos biztonság megismerása
A bal oldali megközelítés nem csak a tesztelés szempontjából ajánlott. Ugyanez az elképzelés kiterjed a biztonság birodalmára is. A DevSecOps alapelveinek célja a biztonság beépítésének jelentősége a DevOps minden fázisába (kezdve a tervezéssel és fejlesztéssel), olykor folyamatos biztonságnak is nevezett módon. A mintaforgatókönyvben leírt szervezet jól ismeri az alapelvek figyelmen kívül hagyásának következményeit. Ebben a leckében vizsgálja meg a balról balra történő biztonsági megközelítés jelentését és a megvalósítás javasolt módjait.
Mi a bal oldali műszakos biztonság?
A biztonság szempontjából a "shift-left" megközelítés a biztonsági tevékenységek bevezetését jelenti a szoftver életciklusának lehető legkorábbi szakaszában. Ennek első lépése a biztonság szoftvertervezésbe való beépítése fenyegetésmodellezéssel a lehetséges jövőbeli fenyegetések azonosítása, a kockázatok felmérése és a kockázatcsökkentési stratégiák meghatározása érdekében. A folyamat a szoftverfejlesztés során is folytatódik számos, biztonsággal kapcsolatos tevékenység implementálásával, például a kódellenőrzésekkel és az automatizált biztonsági teszteléssel. A kódvizsgálatoknak tartalmazniuk kell a biztonságra összpontosító értékeléseket, a biztonsági hibák célzását, a kódolási szabványok betartását és a lehetséges biztonsági réseket. Az automatizált biztonsági tesztelés olyan feladatokat foglal magában, mint a statikus alkalmazásbiztonsági tesztelés (SAST), a dinamikus alkalmazásbiztonsági tesztelés (DAST) és a szoftverösszetétel-elemzés (SCA), amelyek integrálva vannak a folyamatos integrációs/folyamatos üzembe helyezési (CI/CD) folyamatokba.
A folyamatos biztonság részét képező folyamatos monitorozás egy másik elem, amely alkalmas a balra tolás szemléletre. A megvalósítás magában foglalja a naplózási, monitorozási és incidenskezelési mechanizmusok alkalmazását a fejlesztés kezdetétől.