Изучение безопасности влево с сменой
Подход shift-left рекомендуется не только в отношении тестирования. Та же идея распространяется на область безопасности. Принципы DevSecOps предназначены для передачи важности включения безопасности на каждый этап DevOps (начиная с планирования и разработки), так как иногда называются непрерывной безопасностью. Организация, описанная в нашем примере сценария, хорошо осведомлена о последствиях игнорировать эти принципы. В этом блоке изучите суть концепции сдвига влево в области безопасности и рекомендуемые методы ее реализации.
Что такое безопасность по принципу «сдвиг влево»?
В контексте безопасности «shift-left» означает внедрение мероприятий по обеспечению безопасности как можно раньше в процессах жизненного цикла программного обеспечения. Это начинается с включения безопасности в разработку программного обеспечения с помощью моделирования угроз для выявления потенциальных будущих угроз, оценки рисков и определения стратегий устранения рисков. Процесс продолжается во время разработки программного обеспечения, реализуя ряд действий, связанных с безопасностью, таких как проверки кода и автоматическое тестирование безопасности. Проверки кода должны включать оценки, ориентированные на безопасность, направленные на недостатки безопасности, соблюдение стандартов программирования и потенциальные уязвимости. Автоматическое тестирование безопасности включает такие задачи, как статическое тестирование безопасности приложений (SAST), динамическое тестирование безопасности приложений (DAST) и анализ композиции программного обеспечения (SCA), которые интегрируются в конвейеры непрерывной интеграции и непрерывного развертывания (CI/CD).
Непрерывный мониторинг, являющийся частью непрерывной безопасности, — это еще один элемент, который подходит для подхода shift-left. Его реализация включает применение механизмов ведения журнала, мониторинга и реагирования на инциденты с начала разработки.