Zabezpieczenia aplikacji i funkcje DevSecOps

  • Artykuł

Celem zabezpieczeń aplikacji i metodyki DevSecOps jest zintegrowanie gwarancji zabezpieczeń z procesami deweloperskimi i niestandardowymi aplikacjami biznesowymi (LOB).

Modernizacja

Tworzenie aplikacji jest szybko przekształcane w wiele aspektów jednocześnie, w tym model zespołu DevOps, cykl szybkiego wydawania metodyki DevOps oraz skład techniczny aplikacji za pośrednictwem usług w chmurze i interfejsów API. Zobacz, jak chmura zmienia relacje zabezpieczeń i obowiązki, aby zrozumieć te zmiany.

Ta modernizacja przestarzałych modeli programistycznych stanowi zarówno możliwość, jak i wymóg modernizacji zabezpieczeń aplikacji i procesów programistycznych. Łączenie zabezpieczeń procesów DevOps jest często określane jako DevSecOps i powoduje zmiany, w tym:

  • Zabezpieczenia są zintegrowane, a nie poza zatwierdzeniem: Szybkie tempo zmian w tworzeniu aplikacji sprawia, że klasyczne metody "skanowania i raportowania" są przestarzałe. Te starsze podejścia nie mogą nadążać za wydaniami bez opracowywania mielenia w celu zatrzymania i tworzenia opóźnień w czasie na rynku, niedostatecznego wykorzystania deweloperów i wzrostu listy prac związanych z problemami.
    • Przejście w lewo , aby zaangażować zabezpieczenia wcześniej w procesach tworzenia aplikacji, ponieważ wcześniejsze rozwiązywanie problemów jest tańsze, szybsze i bardziej efektywne. Jeśli zaczekasz, aż ciasto zostanie upieczone, trudniej jest zmienić kształt.
    • Integracja natywna: Rozwiązania w zakresie zabezpieczeń muszą być bezproblemowo zintegrowane, aby uniknąć problemów ze złą kondycją przepływów pracy programowania i procesów ciągłej integracji/ciągłego wdrażania (CI/CD). Aby uzyskać więcej informacji na temat podejścia GitHub, zobacz Zabezpieczanie oprogramowania razem.
    • Zabezpieczenia wysokiej jakości: Bezpieczeństwo musi zapewniać wysokiej jakości wyniki i wskazówki, które umożliwiają deweloperom szybkie rozwiązywanie problemów i nie marnują czasu dewelopera z fałszywymi wynikami dodatnimi.
    • Kultura zbieżna: Role zabezpieczeń, programowania i operacji powinny współtworzyć kluczowe elementy w wspólnej kulturze, wspólnych wartościach oraz wspólnych celach i rachunkach.
  • Zabezpieczenia Agile: Zmiana zabezpieczeń z podejścia "musi być idealna do wysłania" do podejścia zwinnego, które zaczyna się od minimalnych realnych zabezpieczeń dla aplikacji (i procesów do ich opracowywania), które jest stale ulepszane przyrostowo.
  • Korzystaj z natywnych dla chmury funkcji infrastruktury i zabezpieczeń, aby usprawnić procesy programistyczne podczas integrowania zabezpieczeń.
  • Zarządzanie ryzykiem łańcucha dostaw: Zastosuj podejście bez zaufania do oprogramowania open source (OSS) i składników innych firm, które weryfikują ich integralność i zapewniają stosowanie poprawek błędów i aktualizacji do tych składników.
  • Ciągłe uczenie: Szybkie tempo wydawania usług deweloperskich, czasami nazywanych usługami typu "platforma jako usługa" (PaaS), a zmiana składu aplikacji oznacza, że członkowie zespołu deweloperskiego, ops i zabezpieczeń będą stale uczyć się nowej technologii.
  • Programowe podejście do zabezpieczeń aplikacji w celu zapewnienia ciągłego ulepszania podejścia agile.

Aby uzyskać dodatkowy kontekst, zobacz Bezpieczny cykl projektowania firmy Microsoft.

Kompozycja zespołu i kluczowe relacje

Funkcje zabezpieczeń aplikacji i metodyki DevSecOps są idealnie wykonywane przez deweloperów i zespoły ds. operacji zabezpieczeń (z obsługą ekspertów w zakresie zabezpieczeń).

Ta funkcja często współdziała z innymi funkcjami i ekspertami, w tym:

  • Architektura zabezpieczeń i operacje
  • Zabezpieczenia infrastruktury
  • Komunikacja (szkolenie i narzędzia)
  • Bezpieczeństwo osób
  • Tożsamość i klucze
  • Zespoły ds. zgodności/zarządzania ryzykiem
  • Kluczowi liderzy biznesowi lub ich przedstawiciele

Następne kroki

Przejrzyj funkcję zabezpieczeń danych.