好色先生TV

Tekniska ?mnen

Vad ?r DevSecOps?

Illustration av IT-objekt med fokus p? ett fr?getecken

?versikt

DevSecOps g?r det m?jligt att integrera s?kerhetstestning tidigare i livscykeln f?r programvaruutveckling, i st?llet f?r i slutet n?r det ?r sv?rare och dyrare att implementera s?rbarheter som kr?ver ?tg?rder.

DevSecOps ?r en f?rl?ngning av DevOps och kallas ibland Secure DevOps. ?ven om DevOps kan betyda olika saker f?r olika personer eller organisationer inneb?r det b?de kulturella och tekniska f?r?ndringar. I idealfallet ?r s?kerhet ett underf?rst?tt krav f?r framg?ngsrik DevOps.

DevSecOps kr?ver att man planerar applikations- och infrastrukturs?kerhet redan fr?n b?rjan. R?tt verktyg kan hj?lpa till att uppfylla m?let med kontinuerligt integrerad s?kerhet, inklusive beslut som att v?lja en integrerad utvecklingsmilj? (IDE) med s?kerhetsfunktioner. Verktygen och processen m?ste ocks? kunna automatisera vissa s?kerhetsgrindar f?r att inte sakta ner DevOps-arbetsfl?det.

DevSecOps

F?rdelar med DevSecOps

Utvecklare kodar inte alltid med s?kerhet i ?tanke. Med en DevSecOps-mentalitet f?r utvecklarna tillg?ng till f?rb?ttrad automatisering genom hela pipelinen f?r leverans av programvara och applikationer f?r att eliminera kodningsmisstag och i slut?ndan minska .

Team som implementerar DevSecOps-verktyg och processer f?r att integrera s?kerhet i sitt DevOps-ramverk kommer att kunna sl?ppa s?ker programvara snabbare. Utvecklare kan s?kerhetstesta kod och uppt?cka s?kerhetsbrister redan n?r koden skrivs. Automatiserade skanningar kan initieras som en del av kodincheckningar, builds, releaser eller andra komponenter i CI/CD-pipelinen. Genom att integrera med verktyg som utvecklare redan anv?nder kan utvecklingsteamen l?ttare f?rb?ttra s?kerhetsaspekten vid utveckling av webbapplikationer.


Vilka ?r de viktigaste komponenterna i DevSecOps?

DevSecOps-metoder kan inneh?lla dessa viktiga komponenter:

Inventering av applikationer/API
  • Automatisera uppt?ckten, profileringen och den kontinuerliga ?vervakningen av koden i hela portf?ljen. Detta kan inkludera produktionskod i datacenter, virtuella milj?er, privata moln, offentliga moln, containrar, serverl?sa l?sningar med mera. Anv?nd en kombination av automatiserade verktyg f?r uppt?ckt och sj?lvinventering. Discovery-verktyg hj?lper dig att identifiera vilka applikationer och API:er du har. Verktyg f?r sj?lvrapportering g?r det m?jligt f?r dina applikationer att inventera sig sj?lva och rapportera sina metadata till en central databas.
S?kerhet f?r anpassad kod
  • Kontinuerlig ?vervakning av programvaran f?r att uppt?cka s?rbarheter under utveckling, test och drift. Leverera kod ofta s? att s?rbarheter kan identifieras snabbt vid varje koduppdatering.
  • Static Application Security Testing (SAST) skannar applikationens k?llfiler, identifierar grundorsaken och hj?lper till att ?tg?rda de underliggande s?kerhetsbristerna.
  • Dynamic Application Security Testing (DAST) simulerar kontrollerade attacker p? en webbapplikation eller tj?nst som k?rs f?r att identifiera s?rbarheter som kan utnyttjas i en k?rmilj?.
  • Interactive Application Security Testing (IAST) ger en djupg?ende skanning genom att instrumentera applikationen med hj?lp av agenter och sensorer f?r att kontinuerligt analysera applikationen, dess infrastruktur, beroenden, datafl?de samt all kod.
S?kerhet f?r ?ppen k?llkod
  • Programvara med ?ppen k?llkod (OSS) inneh?ller ofta s?kerhetsbrister, s? en komplett s?kerhetsstrategi omfattar en l?sning som sp?rar OSS-bibliotek och rapporterar s?rbarheter och licens?vertr?delser.
  • Software Composition Analysis (SCA) automatiserar insynen i programvara med ?ppen k?llkod (OSS) f?r riskhantering, s?kerhet och efterlevnad av licenser.
F?rebyggande av k?rtid
  • Skydda applikationer i produktion - nya s?rbarheter kan uppt?ckas, eller s? kanske ?ldre applikationer inte ?r under utveckling.
  • Loggning kan ge dig information om vilka typer av attackvektorer och system som ?r m?ltavlor. Hotinformation ger underlag f?r hotmodellering och processer f?r s?kerhetsarkitektur.
?vervakning av efterlevnad
  • M?jligg?r revisionsberedskap och ett konstant tillst?nd av efterlevnad av GDPR, CCPA, PCI, etc.
Kulturella faktorer
  • Identifiera s?kerhetsm?stare, skapa s?kerhetsutbildning f?r utvecklare, etc.

F? DevSecOps att fungera f?r dig

Steg 1: Bygg in s?kerhet i programvarukraven
Steg 2: Testa tidigt, ofta och snabbt
Steg 3: Utnyttja integrationer f?r att g?ra applikationss?kerhet till en naturlig del av livscykeln
Steg 4: Automatisera s?kerheten som en del av utvecklings- och testprocesserna
Steg 5: ?vervaka och skydda efter lanseringen


Fortify hj?lper till att bygga in s?kerhet i DevOps

  • Holistisk, inkluderande och utbyggbar applikationss?kerhetsplattform f?r att orkestrera och v?gleda din AppSec-resa.
  • Integrera s?kerhet i applikationsutveckling och drifts?ttning med Fortify Integration Ecosystem.
  • DevSecOps med Fortify m?jligg?r f?rb?ttrad testautomatisering genom hela CI/CD-pipelinen f?r att hitta kodningsmisstag.
  • Automatiserad statisk kodanalys hj?lper utvecklare att eliminera s?rbarheter och bygga s?ker programvara med Static Code Analyzer.
  • WebInspects dynamiska s?kerhetstestning av applikationer analyserar applikationer i driftl?ge och simulerar attacker mot en applikation f?r att hitta s?rbarheter.
  • Ta full kontroll ?ver din s?kerhetsefterlevnad f?r ?ppen k?llkod och din communitys h?lsa med Debricked och Fortify.
  • F? klarhet i hela f?retaget genom att sammanst?lla, analysera och rapportera utv?rderingsresultat i en enda glasruta - oavsett ursprung - med Fortify Insight.

Branschledande AppSec-l?sningar

  • Holistisk, inkluderande och utbyggbar applikationss?kerhetsplattform f?r att orkestrera och v?gleda din AppSec-resa med Fortify Platform.
  • S?kerhet som en tj?nst med Fortify p? beg?ran av 好色先生TV?.
  • Framg?ng f?r en produkt m?ts b?st av kunderna. Gartner Peer Insights, G2s, Fortify framg?ngshistorier fr?n kunder.
  • Bevisad ledare i Gartners Magic Quadrant f?r Application Security Testing.

Hur kan vi hj?lpa till?

Fotnoter