ДевСецОпс је пракса имплементације безбедности на сваком кораку у ДевОпс животном циклусу помоћу ДевСецОпс алата.
У развоју софтвера, ДевОпс је комбинација специфичних развојних активности са ИТ операцијама. Ова комбинација има за циљ да побољша квалитет софтвера и омогући континуирану испоруку.
Ако ДевОпс-у додамо управљање безбедношћу, он постаје ДевСецОпс: дисциплина која интегрише безбедност као заједничку одговорност између ИТ света и света развоја софтвера.
У прошлости је безбедност била искључива одговорност специјализованог тима који се придружио пројектима у њиховим завршним фазама. Ово је добро функционисало у развојним циклусима који су трајали месецима или годинама. Али у циклусима агилног развоја који се мере недељама, безбедносне праксе се морају узети у обзир од почетка до краја пројекта, а безбедносне одговорности морају да деле читав развојни и ИТ тимови.
Да би ДевСецОпс радио без кршења парадигми агилних методологија, његова интеграција мора бити аутоматизована. Ово је једини начин да ДевОпс радни ток не постане спор када се укључује управљање безбедношћу. А та аутоматизација захтева одговарајуће механизме који интегришу развојне алате, као што су интегрисана развојна окружења (ИДЕ), са безбедносним карактеристикама.
Преглед садржаја
Типови ДевСецОпс алата
Комбинација безбедности и ДевОпс-а може имати много облика. Из тог разлога, постоје различите врсте ДевСецОпс алата, који се могу сажети на следећи начин:
- Скенирање рањивости у компонентама отвореног кода: Траже могуће рањивости у компонентама отвореног кода и библиотекама које се налазе у анализираној бази кода, заједно са свим њиховим зависностима.
- Статичко и динамичко тестирање безбедности апликација (САСТ/ДАСТ): Статичко тестирање скенира изворни код програмера у потрази за небезбедним кодом да би се идентификовали потенцијални безбедносни проблеми. Динамичко тестирање обавља безбедносне тестове на покренутим апликацијама без потребе за приступом изворном коду.
- Скенирање слика: Они траже рањивости у Доцкер контејнерима.
- Аутоматизација инфраструктуре: Откријте и поправите различите проблеме у конфигурацији и рањивости у конфигурацији инфраструктуре, посебно у окружењима у облаку.
- Визуелизација: Обезбедите видљивост КПИ-ја и трендова да бисте открили повећање или смањење броја рањивости током времена.
- Моделирање претњи: Омогућите проактивно доношење одлука предвиђањем ризика претњи на целој површини напада.
- Упозорења: Обавестите безбедносни тим само када је аномални догађај идентификован и одређен као претња за смањење нивоа буке и избегавање прекида у ДевСецОпс токовима посла.
Листа у наставку приказује курирану листу ДевСецОпс алата на које се можете ослонити да бисте уградили реч „Сец“ у своје ДевОпс радне токове.
Инвицти
Инвицти је алатка коју можете да интегришете у свој СДЛЦ да бисте извршили управљање безбедношћу у вашим софтверским производима уз одржавање агилности процеса развоја.
Анализа коју је извршио Инвицти је исцрпна, пружајући тачност у откривању проблема без жртвовања брзине у управљању СДЛЦ-ом.
Опције аутоматизације које нуди Инвицти избегавају потребу за људском интервенцијом у извршавању безбедносних задатака, стварајући уштеде напора за ваш тим које могу износити стотине сати месечно.
Ове уштеде су побољшане идентификовањем рањивости које су заиста важне и аутоматским додељивањем њима најприкладнијим ресурсима за санацију.
Инвицти такође пружа потпуну видљивост рањивости у вашим апликацијама у развоју и напорима који се улажу у смањење ризика.
СонарКубе
СонарКубе аутоматски проверава ваш код на рањивости, њушкајући га за грешке које би могле да постану претње. У време писања овог текста, подржава скоро 30 различитих програмских језика.
СонарКубе-ови јединствени КуалитиГатес-ови представљају једноставан начин за заустављање проблема пре него што производ изађе у свет. Они такође пружају развојном тиму заједнички поглед на квалитет, омогућавајући свима да знају стандарде и да ли их њихов развој испуњава.
СонарКубе се неприметно интегрише у ваш ДевСецОпс цевовод, обезбеђујући да сви чланови тима имају приступ извештајима и повратним информацијама које генерише алатка.
Једноставним инсталирањем, СонарКубе јасно показује да ли су ваши урези чисти и да ли су ваши пројекти спремни за објављивање. Ако нешто није у реду, алатка ће вас одмах обавестити где је проблем и шта може бити решење.
Акуа
Акуа вам омогућава да визуелизујете и зауставите претње у свакој фази животног циклуса ваших софтверских производа, од писања изворног кода до примене апликације у облаку.
Радећи као платформа за заштиту апликација заснована на облаку (ЦНАПП), алат нуди безбедносне провере ланца снабдевања софтвером, скенирање ризика и рањивости и напредну заштиту од малвера.
Акуа-ове интеграцијске опције вам омогућавају да обезбедите своје апликације без обзира на платформе и механизме које користите за развој и примену, било да су у облаку, контејнери, без сервера, ЦИ/ЦД цевоводи или оркестратори. Такође се интегрише са СИЕМ платформама и аналитичким алатима.
Карактеристичан аспект Акуа-а је то што омогућава контролу безбедности у Кубернетес контејнерима помоћу КСПМ-а (Кубернетес Сецурити Постуре Манагемент) и напредну заштиту у Кубернетес рунтиме-у. Коришћење изворних К8с функција омогућава заштиту засновану на политикама за цео животни циклус апликација које се примењују у контејнерима.
ПровлерПро
ПровлерПро је алатка отвореног кода направљена посебно за држање безбедности под контролом у развојним окружењима Амазон Веб Сервицес (АВС).
ПровлерПро је дизајниран на такав начин да можете да креирате налог и почнете да скенирате своје развојне канале за неколико минута, пружајући холистички поглед на вашу инфраструктуру без обзира на регион у коме се налазите. Његови алати за визуелизацију вам омогућавају да видите безбедносни статус свих ваших АВС услуга у једном прозору.
Када креирате свој ПровлерПро налог и покренете се, можете да конфигуришете систем да аутоматски покреће серију препоручених провера свака 24 сата. Скенирања са ПровлерПро раде паралелно ради брзине како не би успорила ваше ДевСецОпс токове рада.
Резултати скенирања се приказују у низу унапред дефинисаних контролних табли које се лако могу делити и кретати се истрагом ради директног увида на било који ниво детаља вашег безбедносног положаја.
Пробели
Ако већ имате ДевОпс радни ток и желите да интегришете безбедносна скенирања у њега, Пробели вам омогућава да то урадите за неколико минута, захваљујући својим алатима за скенирање рањивости веб апликација и АПИ-јима.
Приступ Пробели-а је заснован на АПИ-првом развоју, што значи да се свака нова карактеристика алата прво нуди преко АПИ-ја, а затим додаје у интерфејс. Ова стратегија омогућава да ако треба да интегришете Пробели са токовима посла или прилагођеним софтвером, увек можете да користите његов АПИ.
Такође можете да региструјете веб-хукове тако да ваше апликације добијају обавештења за сваки догађај који Пробели генерише.
С обзиром да Пробели нуди велики број готових интеграција, велике су шансе да нећете морати да користите његов АПИ да бисте га интегрисали са својим алатима. Ако већ користите Јира и Јенкинс у својим токовима посла, интеграција ће бити тренутна.
Пробели ће аутоматски покренути скенирање у вашим ЦИ/ЦД цевоводима и регистровати рањивости пронађене као проблеме у Јира. Када се те рањивости отклоне, поново ће их тестирати и поново отворити нерешено питање у Јира, ако је потребно.
Цхецков
Цхецков скенира конфигурације у инфраструктури облака са намером да пронађе конфигурационе недостатке пре него што примени софтверски производ. Са заједничким интерфејсом командне линије, скенира резултате на различитим платформама, као што су Кубернетес, Терраформ, Хелм, ЦлоудФорматион, АРМ предлошци и оквири без сервера.
Са шемом политике заснованом на атрибутима, Цхецков вам омогућава да скенирате ресурсе облака у време компајлирања, откривајући грешке у конфигурацији у атрибутима користећи једноставан Питхон оквир „политика као код“. Између осталог, Цхецков анализира односе између ресурса облака користећи ИАМЛ политике засноване на графовима.
Интеграцијом у ЦИ/ЦД цевоводе и системе за контролу верзија, Цхецков извршава, тестира и мења параметре покретача у контексту циљног спремишта.
Захваљујући проширивом интеграцијском интерфејсу, његова архитектура се може проширити да дефинише прилагођене смернице, услове за сузбијање и добављаче. Његов интерфејс му такође омогућава да се интегрише са платформама за подршку, процесима изградње и прилагођеним системима издавања.
Фарадаи
Са Фарадејем, можете аутоматизовати управљање рањивостима и контролне радње да бисте скренули пажњу на посао који је заиста важан. Његови токови рада вам омогућавају да покренете било коју радњу са прилагођеним догађајима које можете слободно дизајнирати да бисте избегли понављање задатака.
Фарадаи вам даје могућност да стандардизујете и интегришете своје безбедносне алате у своје радне токове, добијајући информације о рањивости из више од 80 алата за скенирање. Користећи агенте, скенери се аутоматски интегришу у ваше радне токове како би уносили и нормализовали податке са максималном лакоћом, генеришући резултате који се могу видети преко веб интерфејса.
Изванредан и занимљив аспект Фарадаиа је то што користи централизовано спремиште за складиштење безбедносних информација, које могу лако анализирати и тестирати различити чланови ДевСецОпс тима.
Ово доноси додатну корист, а то је могућност да се идентификују и комбинују дуплирани проблеми пријављени различитим алатима. Ово смањује напоре чланова тима, избегавајући да више пута обраћају пажњу на исто питање које је пријављено више пута.
ЦирцлеЦИ
Да бисте интегрисали ЦирцлеЦИ са најпопуларнијим ДевОпс безбедносним алатима, морате укључити једног од многих његових партнера у своје развојне цевоводе. ЦирцлеЦИ партнери су добављачи решења у неколико категорија, укључујући САСТ, ДАСТ, статичку анализу контејнера, спровођење политике, управљање тајнама и безбедност АПИ-ја.
Ако треба да урадите нешто да обезбедите развојни цевовод што не можете да урадите ни са једном од доступних кугли, можете искористити чињеницу да су кугле отвореног кода. Из тог разлога, додавање функционалности постојећој кугли је само питање добијања одобрења за ваш ПР и спајања.
Чак и ако имате случај употребе за који сматрате да је изван скупа кугли доступних у регистру ЦирцлеЦИ, можете га креирати и допринети заједници. Компанија објављује листу најбољих пракси за креирање аутоматске компилације орб и цевовода за тестирање како би вам олакшала пут.
Да бисте обезбедили свој цевовод, елиминишите потребу за унутрашњим развојем и дозволите свом тиму да користи услуге трећих страна. Користећи ЦирцлеЦИ кугле, ваш тим ће само морати да зна како да користи те услуге, без потребе да научи како да их интегрише или управља.
Триви
Триви је безбедносни алат отвореног кода који има више скенера који могу да открију безбедносне проблеме и разне циљеве на којима може да пронађе такве проблеме. Међу циљевима које Триви скенира су: систем датотека, слике контејнера, Гит спремишта, слике виртуелних машина, Кубернетес и АВС спремишта.
Скенирањем свих ових могућих циљева, Триви може да пронађе познате рањивости, пропусте у конфигурацији, тајне или осетљиве информације и софтверске лиценце и открије проблеме у ланцу набавке софтвера, укључујући зависности од софтвера који се користи и пакета оперативног система.
Платформе и апликације са којима Триви може да се интегрише могу се наћи на његовој страници Екосистем. Ова листа укључује најпопуларнија имена, као што су ЦирцлеЦИ, ГитХуб Ацтионс, ВС Цоде, Кубернетес или ЈетБраинс.
Триви је доступан у апт, иум, брев и доцкерхуб. Он нема предуслове као што су базе података, окружења за примену или системске библиотеке, а процењује се да ће његово прво скенирање бити завршено за само 10 секунди.
ГитЛеакс
Гитлеакс је алатка отвореног кода са интерфејсом командне линије који се може инсталирати користећи Доцкер, Хомебрев или Го. Такође је доступан као бинарни извршни фајл за најпопуларније платформе и оперативне системе. Такође можете да га примените директно у свој репо као пре-урезивање или као ГитХуб дељење преко Гитлеакс-Ацтион-а.
Његов командни интерфејс је једноставан и минималистички. Састоји се од само 5 команди за откривање тајни у коду, заштиту тајни, генерисање скрипти, добијање помоћи или приказивање верзије алата. Команда детектује омогућава скенирање спремишта, датотека и директоријума. Може се користити на развојним машинама као иу ЦИ окружењима.
Већина посла са ГитЛеакс-ом се обавља помоћу команди детектовања и заштите. Они раде на Гит репозиторијумима, анализирајући излаз гит лог или гит дифф команди и генеришући закрпе које ће ГитЛеакс затим користити за откривање и заштиту тајни.
Останите конкурентни и сигурни
С једне стране, агилност и брзина ваших ЦИ/ЦД цевовода су кључни за обезбеђивање брзог времена за излазак на тржиште, што је заузврат кључно за останак конкурентан као програмер софтвера.
С друге стране, укључивање сигурносних алата у ваше развојне процесе је неоспорна потреба. Да бисте укључили безбедност без негативног утицаја на ваше СДЛЦ временске оквире, ДевСецОпс алати су одговор.