Безопасность приложений в DevOps важна, но часто недооценена. Настолько, что кто -то создал для него слово DevSecops. Но что значит сдвиг влево? А как сместить влево на безопасность?
Мы увидим все это и многое другое сегодня.
видео
Как обычно, если вы Визуальный ученик , или просто предпочитаю смотреть и слушать вместо чтения, здесь у вас есть Видео со всем объяснением и демонстрацией , что, чтобы быть справедливым, много более полное чем этот пост.
Ссылка на видео: https://youtu.be/94AIX5oArIw
Если вы предпочитаете читать, хорошо … давайте просто продолжим:)
Значение «сдвига слева»
Во -первых, что означает «Сдвиг слева».
Сдвиг слева — это Принцип Это фокусируется на выполнении практики, реализации процесса или использовании инструмента как можно раньше в цепочке разработки.
Он называется «сдвиг слева», потому что жизненный цикл разработки программного обеспечения обычно представлен как Прямая линия с несколькими фазами Анкет
Традиционно компании применяют безопасность сразу после развертывания, которое находится на правой стороне этой схемы потока. Но лучшая практика заключается в том, чтобы сделать это во время самого развития.
Как вы можете видеть, поскольку этап разработки слева от диаграммы, мы «толкнули» эту стрелку влево … следовательно, сдвиг слева.
Также обратите внимание, что это не значит, что вы будете делать безопасность только один раз, это должно применяться полностью С первого дня разработки после подачи заявки на производство.
И мы видели это для безопасности, но Это может и должно применяться к другим практикам Кроме того, например, например, тестирование.
Преимущества сдвига влево на безопасность
Двигаясь дальше … давайте поговорим о преимуществах сдвига влево на безопасность. Есть Несколько преимуществ Это может быть получено путем принятия левой стратегии смены.
Автоматизация
Первый — лучшая автоматизация.
Это на самом деле Гораздо проще автоматизировать Тестирование безопасности и сканирование, когда он работает против исходного кода, а не запускает его в развернутой среде. И есть много инструментов, таких как SAST, DAST и т. Д., Которые могут помочь.
И автоматизация, конечно, также означает меньше человеческих ошибок , увеличение покрытия и, в конечном счете, меньше до Нет проблем в производстве Анкет
Время
Еще одно преимущество — это время … если вы применяете безопасность на все время, когда вы разрабатываете и тестируете, то у вас есть Гораздо больше времени для обнаружения и исправления уязвимостей Анкет
Если вы сделаете это непосредственно перед тем, как пойти на производство или, что еще хуже, после развертывания … Что ж, у вас не так много времени, чтобы решить проблемы, а также у вас мало времени для сканирования и поиска уязвимостей.
А как насчет моей команды безопасности
Давайте быстро рассмотрим слона в комнате. Каждый раз, когда я говорю об этом с компаниями и командами, у меня всегда один и тот же вопрос: Как насчет команды безопасности ? Должны ли мы избавиться от этого ?
Ответ, конечно, нет»!
В то время как смещение влево на безопасность означает, что безопасность теперь является обязанностью команды разработчиков, это не значит, что она только на них. Команды безопасности все еще играют очень важную роль Анкет
Прежде всего, все такие вещи, как тестирование на проникновение, RBAC и т. Д. По -прежнему важны и все еще должно быть выполнено .
Кроме того, команда разработчиков должна следовать Руководящие принципы , Лучшие практики и процедуры … и кто лучше их определяет, чем команда безопасности?
Большая разница здесь в том, что, как я уже упоминал, Безопасность приложений больше не просто ответственность за службу безопасности , все делятся этим. Настолько, что я на самом деле не люблю говорить о командах Dev, Ops и SEC, таких как разные команды, они должны работать вместе как одна команда С самого начала усилий по разработке до конца.
Как сместить влево на безопасность
Теперь, когда у нас есть это с дороги, есть одна последняя вещь, о которой я хочу кратко поговорить: как компания может сместиться в оставшейся в сфере безопасности.
Есть не один путь Сделать это, конечно, но их немного практики, которые вы должны реализовать Если вы хотите это сделать.
Прежде всего, добавить сканирование безопасности и уязвимости как можно раньше В вашем жизненном цикле развития. Каждый раз, когда вы открываете запрос на привлечение, для него должно быть запуск безопасности, и он должен заблокировать PR, если присутствуют уязвимости. Таким образом, вы прекращаете уязвимый код, чтобы достичь вашей основной филиала. Некоторые инструменты позволяют вам сканировать код еще перед тем, как посвятить себя вашему репо, и это было бы еще лучше.
Во -вторых, иметь Такое же сканирование в вашем основном CI , то есть CI на вашей основной ветви, для каждого толчка или слияния.
Кроме того, Запланируйте сканирование с фиксированным интервалом , возможно, еженедельно, так что вы можете убедиться, что ваша кодовая база постоянно проверяется, даже если вы не совершаете и не слияете ничего, если в то же время обнаруживается новые уязвимости.
Кроме того, вы должны Обратитесь к любой работе по восстановлению или безопасности как часть вашего обычного отставания , не как многовременная работа. У меня есть Видео посвящено этому , так что проверьте это после того, как закончите просмотреть этот пост.
Наконец, как я уже упоминал, у вас все Команды работают вместе Анкет В конце дня у вас будет та же цель. Разработчики, операции и безопасность должны Работайте вместе день в день Анкет Это единственный способ получить по -настоящему защищенное программное обеспечение и среды.
Выводы
Хорошо, я думаю, что все рассказал … Не поймите меня неправильно, есть гораздо больше, чтобы поговорить, но, по крайней мере, мы рассмотрели основы.
Дайте мне знать ваши мысли в разделе комментариев ниже. Я также хотел бы знать, как вы сейчас делаете безопасность там, где работаете.
Мол, поделиться и следуй за мной 🚀 Для большего содержания:
📽 YouTube ☕ Купить мне кофе 💖 Patreon 👕 Мерч 👦🏻 Страница Facebook 🐱💻 GitHub 👲🏻 Twitter 👴🏻 LinkedIn 🔉 Подкаст
Оригинал: «https://dev.to/n3wt0n/shift-left-on-security-explained-easily-16e5»