Возможно, вы много слышали о DevOps, но что вы знаете о DevsecOps?
В этом блоге я расскажу об этом термине и о том, почему мы должны сосредоточиться на DevSecOps как на ключевой функции.
Что такое DevSecOps?
DevSecOps расшифровывается как Developer, Security и Operations. DevSecOps можно рассматривать как процесс DevOps, но с уровнем безопасности.
Если мы посмотрим на традиционную модель DevOps, то процесс обеспечения безопасности практически отсутствует, но обычно выполняется после развертывания, что не очень хорошая идея для любого инструмента/приложения или проекта. DevOps вращается вокруг трех столпов — людей, продукта и процессов (по выражению Донавана Брауна), но когда мы говорим о DevSecOps, мы применяем методы безопасности ко всем этим трем компонентам.
«Цель и смысл DevSecOps заключается в развитии мышления, согласно которому каждый несет ответственность за безопасность, с целью безопасного распределения решений по безопасности на скорости и масштабе среди тех, кто обладает самым высоким уровнем контекста без ущерба для требуемой безопасности», — описывает Шеннон Лиетц, соавтор «Манифеста DevSecOps».
DevSecOps отличается от DevOps следующим образом.
-
Непрерывная интеграция, доставка и развертывание для обеспечения регулярного и автоматизированного тестирования безопасности перед запуском приложения в производство.
-
Приложение строится как микросервис
-
Инфраструктура как код — планирование, проектирование, реализация и управление инфраструктурой приложения через код.
Особенности внедрения DevSecOps-
- Наблюдаемость
- Прослеживаемость
- Соответствие
- Уверенность
Следуя тенденции сдвига влево :
The earlier you run the security,
the better for your team, product and costs.
You don’t want your developers to work again
on the code base and other issues post-deployment.
This means, the engineers work on
security issues parallelly to working on the product.
Некоторые советы, которые могут улучшить работу службы безопасности, когда ваше приложение находится в стадии разработки.
- Сделайте безопасность частью бэклога или спринта.
- Предполагайте нарушения — постепенно раскрывайте их инженерным командам, чтобы можно было выявить и устранить уязвимости.
Практика DevSecOps сокращает время на исправление уязвимостей и освобождает команды безопасности, чтобы сосредоточиться на приоритетной работе. Как процесс, они также обеспечивают и упрощают соответствие требованиям, избавляя проекты разработки приложений от необходимости доработки с учетом требований безопасности.
Нет сомнений в том, что DevSecOps революционизирует методы обеспечения безопасности приложений в организациях. Однако по ряду причин, например, из-за недостаточной осведомленности о том, что такое DevSecOps, может произойти смещение интересов.
Что дальше?
После изучения DevOps я работаю над тем, чтобы узнать больше о DevSecOps. Вот инструмент с открытым исходным кодом для этого — BoxyHQ.
Найти на Github: github.com/boxyhq
Присоединяйтесь к сообществу BoxyHQ Discord здесь