Общие сведения о DevSecOps

  • 1 минута

В то время как внедрение облачных вычислений растет для поддержки производительности бизнеса, отсутствие инфраструктуры безопасности может непреднамеренно компрометировать данные.

В отчете аналитики безопасности Майкрософт 2018 г. установлено следующее:

  • Данные не зашифрованы как в состоянии покоя, так и при передаче.
    • 7% приложений для хранения программного обеспечения как услуги (SaaS).
    • 86% процентов приложений для совместной работы SaaS.
  • Защита HTTP-заголовков для сеансов поддерживается только :
    • 4% приложения для SaaS-хранилищ.
    • 3% SaaS-приложений для совместной работы.

Secure DevOps (или DevSecOps)

DevOps касается работы более быстрыми темпами. безопасность подчеркивает тщательность. Проблемы безопасности обычно рассматриваются в конце цикла. Он может создать незапланированную работу прямо в конце конвейера. Secure DevOps интегрирует DevOps с безопасностью в набор методик, предназначенных для эффективного удовлетворения целей DevOps и безопасности.

Диаграмма, показывающая диаграмму Венна с кругом DevOps и кругом безопасности, которые пересекаются. На пересечении написано

Конвейер Secure DevOps позволяет командам разработчиков быстро работать без нарушения своего проекта путем внедрения нежелательных уязвимостей безопасности.

Заметка

Secure DevOps также иногда называется DevSecOps. Вы можете столкнуться с обоими терминами, но каждый относится к одной и той же концепции.

Безопасность в контексте Secure DevOps

Исторически безопасность обычно функционировала на более медленных циклах и была основана на традиционных методологиях безопасности, таких как:

  • Управление доступом.
  • Усиление защиты среды.
  • Защита периметра.

Secure DevOps включает эти традиционные методики безопасности и многое другое. При использовании Secure DevOps безопасность заключается в защите конвейера.

Secure DevOps включает определение места добавления защиты к элементам, подключающимся к конвейерам сборки и выпуска.

Secure DevOps может показать, как и где можно добавить безопасность в методики автоматизации, рабочие среды и другие элементы конвейера, используя скорость DevOps.

Secure DevOps обращается к более широким вопросам, таким как:

  • Использует ли мой конвейер сторонние компоненты и обеспечивает ли они безопасность?
  • Существуют ли известные уязвимости в любом стороннем программном обеспечении, которое мы используем?
  • Как быстро я могу обнаружить уязвимости (это также называется временем обнаружения)?
  • Как быстро можно устранить обнаруженные уязвимости (также известные как время на устранение)?

Методы безопасности для обнаружения потенциальных аномалий безопасности должны быть столь надежными и быстрыми, как и другие части конвейера DevOps. Она также включает в себя автоматизацию инфраструктуры и разработку кода.