Uygulama güvenliği ve DevSecOps işlevleri
Uygulama güvenliği ve DevSecOps'un amacı, güvenlik güvencelerini geliştirme süreçleri ve özel iş kolu (LOB) uygulamalarıyla tümleştirmektir.
Modernleşme
Uygulama geliştirme, DevOps ekip modeli, DevOps hızlı sürüm temposu ve bulut hizmetleri ve API'ler aracılığıyla uygulamaların teknik bileşimi de dahil olmak üzere birden çok yönden hızla yeniden şekillendiriliyor. Bu değişiklikleri anlamak için bulutunun güvenlik ilişkilerini ve sorumluluklarını nasıl değiştirdiğini görün.
Eski geliştirme modellerinin bu modernleştirilmesi hem fırsat hem de uygulamaların ve geliştirme süreçlerinin güvenliğini modernleştirme gereksinimini ortaya koymektedir. Güvenliğin DevOps işlemleriyle birleşmesi genellikle DevSecOps olarak adlandırılır ve aşağıdaki değişikliklere neden olur:
- Güvenlik tümleşiktir, dış onay değildir: Uygulama geliştirmedeki hızlı değişim hızı, klasik kol uzunluğu "tarama ve rapor" yaklaşımlarının eskimesini sağlar. Bu eski yaklaşımlar, geliştirmeyi durdurmadan ve pazara çıkış gecikmeleri, geliştirici az kullanımı ve sorun kapsamı büyümesi oluşturmadan yayınlara ayak uyduramaz.
- Sorunları daha erken düzeltmek daha ucuz, daha hızlı ve daha etkili olduğundan, uygulama geliştirme süreçlerinde güvenliği daha erken devreye almak için sola doğru kaydırma yapın. Kek pişirilene kadar beklerseniz, şekli değiştirmek daha zordur.
- Yerel tümleştirme: Geliştirme iş akışlarında ve sürekli tümleştirme/sürekli dağıtım (CI/CD) işlemlerinde iyi durumda olmayan uyuşmaları önlemek için güvenlik uygulamaları sorunsuz bir şekilde tümleştirilmelidir. GitHub yaklaşımı hakkında daha fazla bilgi için bkz . Yazılımları birlikte güvenli hale getirme.
- Yüksek kaliteli güvenlik: Güvenlik, geliştiricilerin sorunları hızlı bir şekilde düzeltmesini ve hatalı pozitif sonuçlarla geliştiricinin zamanını boşa harcamamasını sağlayan yüksek kaliteli bulgular ve rehberlik sağlamalıdır.
- Yakınsanmış kültür: Güvenlik, geliştirme ve operasyon rolleri paylaşılan bir kültüre, paylaşılan değerlere, paylaşılan hedeflere ve sorumluluklara önemli öğeler katmalıdır.
- Çevik güvenlik: Güvenliği "göndermek için mükemmel olmalıdır" yaklaşımından, sürekli olarak artımlı olarak iyileştirilen uygulamalar (ve süreçlerin bunları geliştirmesi için) için en düşük uygulanabilir güvenlikle başlayan çevik bir yaklaşıma geçiş yapın.
- Güvenliği tümleştirerek geliştirme süreçlerini kolaylaştırmak için buluta özel altyapı ve güvenlik özelliklerini benimseyin.
- Tedarik zinciri risk yönetimi: Açık kaynak yazılımlara (OSS) ve bunların bütünlüğünü doğrulayan üçüncü taraf bileşenlere sıfır güven yaklaşımı benimser ve bu bileşenlere hata düzeltmelerinin ve güncelleştirmelerinin uygulanmasını sağlar.
- Sürekli öğrenme: Bazen hizmet olarak platform (PaaS) hizmetleri olarak da adlandırılan geliştirici hizmetlerinin hızlı yayın hızı ve uygulamaların bileşiminin değiştirilmesi, geliştirme, operasyon ve güvenlik ekibi üyelerinin sürekli yeni teknoloji öğreneceği anlamına gelir.
- Çevik yaklaşımın sürekli iyileştirilmesini sağlamak için uygulama güvenliğine programlı yaklaşım.
Ek bağlam için bkz. Microsoft güvenli geliştirme yaşam döngüsü.
Ekip oluşturma ve önemli ilişkiler
Uygulama güvenliği ve DevSecOps işlevleri, güvenlik konusunda bilgi sahibi geliştiriciler ve operasyon ekipleri (güvenlik konusu uzmanlarının desteğiyle) tarafından ideal bir şekilde gerçekleştirilir.
Bu işlev genellikle aşağıdakiler gibi diğer işlevler ve uzmanlarla etkileşim kurar:
- Güvenlik mimarisi ve işlemleri
- Altyapı güvenliği
- İletişimler (eğitim ve araçlar)
- Kişi güvenliği
- Kimlik ve anahtarlar
- Uyumluluk/risk yönetimi ekipleri
- Önemli iş liderleri veya temsilcileri
Sonraki adımlar
Veri güvenliğinin işlevini gözden geçirin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin