Utforsk skift-venstre-sikkerhet
Den skift-venstre- tilnærmingen anbefales ikke bare når det gjelder testing. Den samme ideen strekker seg inn i riket av sikkerhet. Prinsippene for DevSecOps er ment å formidle betydningen av å innlemme sikkerhet i alle faser av DevOps (starter med planlegging og utvikling), på den måten som noen ganger kalles Kontinuerlig sikkerhet. Organisasjonen som er beskrevet i eksempelscenariet vårt, er godt klar over konsekvensene av å ignorere disse prinsippene. I denne enheten kan du undersøke betydningen av skift-venstre- tilnærming til sikkerhet og de anbefalte måtene å implementere den på.
Hva er skift-venstre sikkerhet?
I sikkerhetssammenheng oversettes skift-venstre til innføring av sikkerhetsaktiviteter så tidlig i programvarelivssyklusprosessene som mulig. Dette starter med å innlemme sikkerhet i programvareutforming ved hjelp av trusselmodellering for å identifisere potensielle fremtidige trusler, vurdere risikoer og definere tiltaksstrategier. Prosessen fortsetter gjennom programvareutvikling ved å implementere en rekke sikkerhetsrelaterte aktiviteter, for eksempel kodegjennomganger og automatisert sikkerhetstesting. Kodevurderinger bør omfatte sikkerhetsfokuserte vurderinger, målretting av sikkerhetsfeil, overholdelse av kodestandarder og potensielle sårbarheter. Automatisert sikkerhetstesting innebærer slike oppgaver som statisk programsikkerhetstesting (SAST), dynamisk programsikkerhetstesting (DAST) og programvaresammensetningsanalyse (SCA), som er integrert i kontinuerlig integrasjon/kontinuerlig distribusjon (CI/CD)-datasamlebånd.
Kontinuerlig overvåking, som er en del av kontinuerlig sikkerhet, er et annet element som passer for skift-venstre-tilnærmingen. Implementeringen innebærer å bruke loggings-, overvåkings- og hendelsesresponsmekanismer fra begynnelsen av utviklingen.