O que é DevSecOps?

Tópicos técnicos

Ilustra??o de itens de TI com foco em um ponto de interroga??o

Vis?o geral

O DevSecOps permite a integra??o de testes de seguran?a no início da seguran?a do aplicativo, no início do ciclo de vida de desenvolvimento do software, em vez de no final, quando as descobertas de vulnerabilidades que exigem mitiga??o s?o mais difíceis e caras de implementar.

O DevSecOps é uma extens?o do DevOps e, às vezes, é chamado de DevOps seguro. Embora o DevOps possa significar coisas diferentes para pessoas ou organiza??es diferentes, ele envolve mudan?as culturais e técnicas. O ideal é que a seguran?a seja um requisito implícito das DevOps bem-sucedidas.

O DevSecOps exige o planejamento da seguran?a de aplicativos e infraestrutura desde o início. As ferramentas certas podem ajudar a atingir a meta de seguran?a continuamente integrada, incluindo decis?es como a sele??o de um ambiente de desenvolvimento integrado (IDE) com recursos de seguran?a. As ferramentas e o processo também devem ser capazes de automatizar algumas portas de seguran?a para n?o retardar o fluxo de trabalho do DevOps.

DevSecOps

Benefícios do DevSecOps

Os desenvolvedores nem sempre codificam com a seguran?a em mente. Com uma mentalidade de DevSecOps, os desenvolvedores s?o capacitados com automa??o aprimorada em todo o pipeline de entrega de software e aplicativos para eliminar erros de codifica??o e, por fim, reduzir .

As equipes que implementarem ferramentas e processos de DevSecOps para integrar a seguran?a à sua estrutura de DevOps poder?o lan?ar software seguro mais rapidamente. Os desenvolvedores podem testar a seguran?a do código e detectar falhas de seguran?a à medida que o código é escrito. As verifica??es automatizadas podem ser iniciadas como parte de check-ins de código, compila??es, lan?amentos ou outros componentes do pipeline de CI/CD. Ao integrar-se às ferramentas que os desenvolvedores já est?o usando, as equipes de desenvolvimento podem melhorar mais facilmente o aspecto de seguran?a do desenvolvimento de aplicativos Web.

Quais s?o os principais componentes do DevSecOps?

As abordagens de DevSecOps podem incluir esses componentes importantes:

Inventário de aplicativos/API

Automatize a descoberta, a cria??o de perfis e o monitoramento contínuo do código em todo o portfólio. Isso pode incluir código de produ??o em data centers, ambientes virtuais, nuvens privadas, nuvens públicas, contêineres, sem servidor e muito mais. Use uma combina??o de ferramentas de descoberta automatizada e de autoinventário. As ferramentas de descoberta ajudam a identificar quais aplicativos e APIs você tem. As ferramentas de autorrelato permitem que seus aplicativos se inventariem e relatem seus metadados para um banco de dados central.

Seguran?a de código personalizado

Monitorar continuamente o software em busca de vulnerabilidades durante o desenvolvimento, os testes e as opera??es. Forne?a códigos com frequência para que as vulnerabilidades possam ser identificadas rapidamente a cada atualiza??o de código.
O teste estático de seguran?a de aplicativos (SAST) examina os arquivos de origem do aplicativo, identifica com precis?o a causa raiz e ajuda a corrigir as falhas de seguran?a subjacentes.
O Dynamic Application Security Testing (DAST) simula ataques controlados a um aplicativo ou servi?o da Web em execu??o para identificar vulnerabilidades exploráveis em um ambiente em execu??o.
O IAST (Interactive Application Security Testing, teste interativo de seguran?a de aplicativos) fornece uma varredura profunda ao instrumentar o aplicativo usando agentes e sensores para analisar continuamente o aplicativo, sua infraestrutura, dependências, fluxo de dados, bem como todo o código.

Seguran?a de código aberto

O software de código aberto (OSS) muitas vezes inclui vulnerabilidades de seguran?a, portanto, uma abordagem de seguran?a completa inclui uma solu??o que rastreia as bibliotecas OSS e relata vulnerabilidades e viola??es de licen?a.
A Análise de Composi??o de Software (SCA) automatiza a visibilidade do software de código aberto (OSS) para fins de gerenciamento de riscos, seguran?a e conformidade de licen?as.

Preven??o em tempo de execu??o

Proteja os aplicativos em produ??o - novas vulnerabilidades podem ser descobertas, ou os aplicativos legados podem n?o estar em desenvolvimento.
O registro pode informá-lo sobre quais tipos de vetores de ataque e sistemas est?o sendo visados. A inteligência sobre amea?as informa os processos de modelagem de amea?as e arquitetura de seguran?a.

Monitoramento da conformidade

Permita a prepara??o para auditorias e um estado constante de conformidade com o GDPR, CCPA, PCI, etc.

Fatores culturais

Identificar campe?es de seguran?a, estabelecer treinamento de seguran?a para desenvolvedores, etc.

Fazendo o DevSecOps trabalhar para você

Etapa 1: incorporar a seguran?a aos requisitos do software
Etapa 2: testar antecipadamente, com frequência e rapidamente
Etapa 3: aproveitar as integra??es para tornar a seguran?a do aplicativo uma parte natural do ciclo de vida
Etapa 4: automatizar a seguran?a como parte dos processos de desenvolvimento e teste
Etapa 5: monitorar e proteger após o lan?amento

Fortify ajuda a incorporar a seguran?a ao DevOps

Plataforma de seguran?a de aplicativos holística, inclusiva e extensível para orquestrar e orientar sua jornada de AppSec.
Incorpore a seguran?a ao desenvolvimento e à implementa??o de aplicativos com o ecossistema de integra??o Fortify .
O DevSecOps com Fortify permite a automa??o de testes aprimorada em todo o pipeline de CI/CD para encontrar erros de codifica??o.
A análise automatizada de código estático ajuda os desenvolvedores a eliminar vulnerabilidades e criar software seguro com o Static Code Analyzer.
Os testes din?micos de seguran?a de aplicativos do WebInspect analisam os aplicativos em seu estado de execu??o e simulam ataques contra um aplicativo para encontrar vulnerabilidades.
Assuma o controle total da conformidade de seguran?a de código aberto e da integridade da comunidade com o Debricked e o Fortify.
Obtenha clareza em toda a sua empresa agregando, analisando e relatando os resultados da avalia??o em um único painel de vidro - independentemente da origem - com o Fortify Insight.

Solu??es AppSec líderes do setor

Plataforma de seguran?a de aplicativos holística, inclusiva e extensível para orquestrar e orientar sua jornada de AppSec com a plataforma Fortify .
Seguran?a como um servi?o com Fortify on Demand por 好色先生TV?.
O sucesso de um produto é melhor medido pelos clientes. Gartner Peer Insights, G2s, Fortify histórias de sucesso de clientes.
Líder comprovado no Quadrante Mágico do Gartner para testes de seguran?a de aplicativos.

Recursos

O que é seguran?a cibernética?

AppSec orientado para o desenvolvedor: Documento de posicionamento da seguran?a na velocidade do DevOps

好色先生TV? Identity Governance e Administra??o

Em destaqueEm destaque

Analytics CloudAnalytics Cloud

Analytics DatabaseAnalytics Database

Inteligência de negócios e relatóriosInteligência de negócios e relatórios

Data DiscoveryData Discovery

eDiscovery and InvestigationseDiscovery and Investigations

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

Aviator Pesquisa

Business Network CloudBusiness Network Cloud

Integra??o da cadeia de suprimentosIntegra??o da cadeia de suprimentos

Servi?os de integra??o B2BServi?os de integra??o B2B

Colabora??o do ecossistemaColabora??o do ecossistema

Rede de negócios Aviator

Content CloudContent Cloud

Gerenciamento de documentosGerenciamento de documentos

Gerenciamento de conteúdo de IAGerenciamento de conteúdo de IA

Integra??es de negóciosIntegra??es de negócios

Captura e processamento inteligente de documentosCaptura e processamento inteligente de documentos

Information ArchivingInformation Archiving

Automa??o de processosAutoma??o de processos

Governan?a da informa??oGovernan?a da informa??o

Conteúdo Aviator

Cybersecurity CloudCybersecurity Cloud

Seguran?a de aplicativosSeguran?a de aplicativos

Identity and Access ManagementIdentity and Access Management

Privacidade e prote??o de dadosPrivacidade e prote??o de dados

Investiga??es e perícias digitaisInvestiga??es e perícias digitais

Inteligência sobre amea?as

Detec??o e resposta a amea?asDetec??o e resposta a amea?as

Seguran?a cibernética Aviator

DevOps CloudDevOps Cloud

Plataforma DevOpsPlataforma DevOps

PPM e gerenciamento estratégico PortfolioPPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidadeGerenciamento da qualidade

Functional TestingFunctional Testing

Engenharia de desempenhoEngenharia de desempenho

DevOps Aviator

Experience CloudExperience Cloud

Web e experiências de marcaWeb e experiências de marca

MensagensMensagens

Jornada do cliente e dadosJornada do cliente e dados

Media ManagementMedia Management

Contact Center AnalyticsContact Center Analytics

Experiência Aviator

IT Operations CloudIT Operations Cloud

Gerenciamento de servi?osGerenciamento de servi?os

FinOpsFinOps

AIOps e observabilidadeAIOps e observabilidade

Automa??oAutoma??o

Gerenciamento de redeGerenciamento de rede

Opera??es de TI Aviator

好色先生TV Thrust好色先生TV Thrust

Developer Cloud documenta??o técnica

Aviator Thrust

PortfolioPortfolio

Prote??o de dados e backup de endpointsProte??o de dados e backup de endpoints

Gerenciamento de endpoints e seguran?a móvelGerenciamento de endpoints e seguran?a móvel

Trabalho híbrido, e-mail e colabora??o em equipeTrabalho híbrido, e-mail e colabora??o em equipe

Arquivamento, eDiscovery e seguran?a de dadosArquivamento, eDiscovery e seguran?a de dados

Informa??es reimaginadas

Inteligência ArtificialInteligência Artificial

SetorSetor

Aplicativos empresariaisAplicativos empresariais

Sua jornada para o sucessoSua jornada para o sucesso

Suporte ao clienteSuporte ao cliente

Servi?os de sucesso do clienteServi?os de sucesso do cliente

Servi?os de consultoria e estratégiaServi?os de consultoria e estratégia

Servi?os de consultoriaServi?os de consultoria

Servi?os de aprendizadoServi?os de aprendizado

Servi?os gerenciadosServi?os gerenciados

Encontre um parceiro 好色先生TVEncontre um parceiro 好色先生TV

Encontre uma solu??o de parceiroEncontre uma solu??o de parceiro

Crescer como parceiroCrescer como parceiro

Torne-se um parceiro

Biblioteca de ativosBiblioteca de ativos

Blogs

EventosEventos

Comunidades

Histórias de clientesHistórias de clientes

好色先生TV Navigator好色先生TV Navigator

Em destaque

Analytics Cloud

Analytics Database

Inteligência de negócios e relatórios

Data Discovery

eDiscovery and Investigations

Legal Content and Knowledge Management

Business Network Cloud

Integra??o da cadeia de suprimentos

Servi?os de integra??o B2B

Colabora??o do ecossistema

Content Cloud

Gerenciamento de documentos

Gerenciamento de conteúdo de IA

Integra??es de negócios

Captura e processamento inteligente de documentos

Information Archiving

Automa??o de processos

Governan?a da informa??o

Cybersecurity Cloud

Seguran?a de aplicativos

Identity and Access Management

Privacidade e prote??o de dados

Investiga??es e perícias digitais

Detec??o e resposta a amea?as

DevOps Cloud

Plataforma DevOps

PPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidade

Functional Testing

Engenharia de desempenho

Experience Cloud

Web e experiências de marca

Mensagens

Jornada do cliente e dados

Media Management

Contact Center Analytics

IT Operations Cloud

Gerenciamento de servi?os

FinOps

AIOps e observabilidade

Automa??o

Gerenciamento de rede

好色先生TV Thrust

Portfolio

Prote??o de dados e backup de endpoints

Gerenciamento de endpoints e seguran?a móvel

Trabalho híbrido, e-mail e colabora??o em equipe

Arquivamento, eDiscovery e seguran?a de dados

Inteligência Artificial

Setor

Aplicativos empresariais

Sua jornada para o sucesso

Suporte ao cliente

Servi?os de sucesso do cliente

Servi?os de consultoria e estratégia

Servi?os de consultoria

Servi?os de aprendizado

Servi?os gerenciados

Encontre um parceiro 好色先生TV

Encontre uma solu??o de parceiro

Crescer como parceiro

Biblioteca de ativos

Eventos

Histórias de clientes

好色先生TV Navigator