Рубрики
Uncategorized

Безопасность — это работа — часть 6 — второй путь

Это 6-й в серии блога многих частей по теме Devesecops. Теги с DevOps, начинающими, Devesecops, Appsec.

Безопасность — это работа в каждой (6 целых серии)

Для этого и больше, проверьте мою книгу, Алиса и Боб изучают безопасность приложения и моя онлайн-академия обучения, Мы взломаем фиолетовое !

Предыдущая статья в этой серии — здесь Отказ Если вы потеряли чтение этой статьи, Прочитайте всю серию с самого начала Отказ:-D. Это длинный пост, сидеть крепко!

Второй способ девопа — быстрая обратная связь. В безопасности, когда мы видим это, мы все должны думать то же самое: настаивая налево. Мы хотим начать безопасность в начале жизненного цикла развития системы (SDLC) и убедитесь, что мы находимся там (предоставляя обратную связь) весь путь!

Быстрые петли обратной связи означает получать важную информацию для правильных людей, быстро и регулярно. Одной из основных причин, по которым провалились проекты водопада в прошлом, было отсутствие своевременной обратной связи; Никто не хочет выяснить двенадцать месяцев после ошибки, тогда они не могут это исправить.

Целью мероприятий по обеспечению безопасности в среде «Девенпс» должна быть сокращая и усиливать петли обратной связи, поэтому недостатки безопасности (проблемы проектирования) и ошибки (проблемы с кодом) фиксируются как можно раньше, когда он быстрее, дешевле и легче сделать лучшую работу. Эти девопцы люди действительно на чем-то!

Давайте перейдем на несколько идей о том, как добиться этого.

  • Деятельность для создания быстрых петлей обратной связи.
  • Автоматизируйте столько же, сколько возможно. Внутри или снаружи трубопровода автоматизация является ключом.
  • По возможности интеграция ваших инструментов в инструменты команды Dev и Ops. Например, чтобы вопросы, найденные вашим инструментом IAST, превращаются в билеты в системе отслеживания ошибок разработчиков.
  • Когда у вас есть Pentest, проверив все другие приложения для вещей в отчете, а затем добавьте тесты создания единиц, чтобы искать эти вещи
  • Переименуйте небезопасные функции или библиотеки как «небезопасно» с оберткой, поэтому программисты смотрят сразу, что есть проблема.
  • Добавьте Science Sprints в свой график вашего проекта (чтобы исправить все ошибки безопасности в BackLog)
  • Запрашивая Dev и Ops то, о чем они обеспокоены (в отношении безопасности), чтобы вы могли зафиксировать любые проблемы, которые могут заставить команду безопасности.
  • Добавьте важные тесты безопасности, которые быстрым к трубопроводу. Например, сканирование для секретов в коде, который проверяется. Это важный тест!
  • Если в трубопроводе нет важных тестов безопасности, сервер непрерывного интеграции должен сломать сборку. Так же, как тесты качества. Это громкая обратная связь.
  • Создайте второй трубопровод, который не выпускает какой-либо код, но запускает все длинные и медленные тесты безопасности, а затем команда безопасности проанализирует результаты после и повернуть важные вещи в билеты для Devs.
  • Настройте все инструменты безопасности как можно больше и подтвердите все результаты, чтобы обратная связь вы получили точный Отказ Нет смысла отправлять много обратной связи, если половина этого неверна.
  • Работайте с разработчиками для создания отрицательных модулей тестов (иногда известных как тесты на злоупотребление). Создавайте копии обычных модульных тестов, переименуйте их с помощью «злоупотребления» в конце, а затем добавьте вредоносные полезные нагрузки и убедитесь, что ваше приложение избирается и обрабатывает плохой вход.
  • Отчеты от ваших инструментов безопасности автоматически отправляют свои результаты в инструмент управления уязвимостями, такими как Дефект додзё или Тема Fix Чтобы сохранить метрики и использовать их для улучшения всей вашей работы. Тебе тоже нужна обратная связь.

Будь креативным. Любой способ получить отзывы быстрее для других команд, это огромная победа для вашей команды тоже!

Для этого и больше, проверьте мою книгу, Алиса и Боб изучают безопасность приложения и моя онлайн-академия обучения, Мы взломаем фиолетовое !

Безопасность — это работа в каждой (6 целых серии)

Оригинал: «https://dev.to/shehackspurple/security-is-everybody-s-job-part-6-the-second-way-3gf8»