Vad ?r DevSecOps?

Tekniska ?mnen

Illustration av IT-objekt med fokus p? ett fr?getecken

?versikt

DevSecOps g?r det m?jligt att integrera s?kerhetstestning tidigare i livscykeln f?r programvaruutveckling, i st?llet f?r i slutet n?r det ?r sv?rare och dyrare att implementera s?rbarheter som kr?ver ?tg?rder.

DevSecOps ?r en f?rl?ngning av DevOps och kallas ibland Secure DevOps. ?ven om DevOps kan betyda olika saker f?r olika personer eller organisationer inneb?r det b?de kulturella och tekniska f?r?ndringar. I idealfallet ?r s?kerhet ett underf?rst?tt krav f?r framg?ngsrik DevOps.

DevSecOps kr?ver att man planerar applikations- och infrastrukturs?kerhet redan fr?n b?rjan. R?tt verktyg kan hj?lpa till att uppfylla m?let med kontinuerligt integrerad s?kerhet, inklusive beslut som att v?lja en integrerad utvecklingsmilj? (IDE) med s?kerhetsfunktioner. Verktygen och processen m?ste ocks? kunna automatisera vissa s?kerhetsgrindar f?r att inte sakta ner DevOps-arbetsfl?det.

DevSecOps

F?rdelar med DevSecOps

Utvecklare kodar inte alltid med s?kerhet i ?tanke. Med en DevSecOps-mentalitet f?r utvecklarna tillg?ng till f?rb?ttrad automatisering genom hela pipelinen f?r leverans av programvara och applikationer f?r att eliminera kodningsmisstag och i slut?ndan minska .

Team som implementerar DevSecOps-verktyg och processer f?r att integrera s?kerhet i sitt DevOps-ramverk kommer att kunna sl?ppa s?ker programvara snabbare. Utvecklare kan s?kerhetstesta kod och uppt?cka s?kerhetsbrister redan n?r koden skrivs. Automatiserade skanningar kan initieras som en del av kodincheckningar, builds, releaser eller andra komponenter i CI/CD-pipelinen. Genom att integrera med verktyg som utvecklare redan anv?nder kan utvecklingsteamen l?ttare f?rb?ttra s?kerhetsaspekten vid utveckling av webbapplikationer.

Vilka ?r de viktigaste komponenterna i DevSecOps?

DevSecOps-metoder kan inneh?lla dessa viktiga komponenter:

Inventering av applikationer/API

Automatisera uppt?ckten, profileringen och den kontinuerliga ?vervakningen av koden i hela portf?ljen. Detta kan inkludera produktionskod i datacenter, virtuella milj?er, privata moln, offentliga moln, containrar, serverl?sa l?sningar med mera. Anv?nd en kombination av automatiserade verktyg f?r uppt?ckt och sj?lvinventering. Discovery-verktyg hj?lper dig att identifiera vilka applikationer och API:er du har. Verktyg f?r sj?lvrapportering g?r det m?jligt f?r dina applikationer att inventera sig sj?lva och rapportera sina metadata till en central databas.

S?kerhet f?r anpassad kod

Kontinuerlig ?vervakning av programvaran f?r att uppt?cka s?rbarheter under utveckling, test och drift. Leverera kod ofta s? att s?rbarheter kan identifieras snabbt vid varje koduppdatering.
Static Application Security Testing (SAST) skannar applikationens k?llfiler, identifierar grundorsaken och hj?lper till att ?tg?rda de underliggande s?kerhetsbristerna.
Dynamic Application Security Testing (DAST) simulerar kontrollerade attacker p? en webbapplikation eller tj?nst som k?rs f?r att identifiera s?rbarheter som kan utnyttjas i en k?rmilj?.
Interactive Application Security Testing (IAST) ger en djupg?ende skanning genom att instrumentera applikationen med hj?lp av agenter och sensorer f?r att kontinuerligt analysera applikationen, dess infrastruktur, beroenden, datafl?de samt all kod.

S?kerhet f?r ?ppen k?llkod

Programvara med ?ppen k?llkod (OSS) inneh?ller ofta s?kerhetsbrister, s? en komplett s?kerhetsstrategi omfattar en l?sning som sp?rar OSS-bibliotek och rapporterar s?rbarheter och licens?vertr?delser.
Software Composition Analysis (SCA) automatiserar insynen i programvara med ?ppen k?llkod (OSS) f?r riskhantering, s?kerhet och efterlevnad av licenser.

F?rebyggande av k?rtid

Skydda applikationer i produktion - nya s?rbarheter kan uppt?ckas, eller s? kanske ?ldre applikationer inte ?r under utveckling.
Loggning kan ge dig information om vilka typer av attackvektorer och system som ?r m?ltavlor. Hotinformation ger underlag f?r hotmodellering och processer f?r s?kerhetsarkitektur.

?vervakning av efterlevnad

M?jligg?r revisionsberedskap och ett konstant tillst?nd av efterlevnad av GDPR, CCPA, PCI, etc.

Kulturella faktorer

Identifiera s?kerhetsm?stare, skapa s?kerhetsutbildning f?r utvecklare, etc.

F? DevSecOps att fungera f?r dig

Steg 1: Bygg in s?kerhet i programvarukraven
Steg 2: Testa tidigt, ofta och snabbt
Steg 3: Utnyttja integrationer f?r att g?ra applikationss?kerhet till en naturlig del av livscykeln
Steg 4: Automatisera s?kerheten som en del av utvecklings- och testprocesserna
Steg 5: ?vervaka och skydda efter lanseringen

Fortify hj?lper till att bygga in s?kerhet i DevOps

Holistisk, inkluderande och utbyggbar applikationss?kerhetsplattform f?r att orkestrera och v?gleda din AppSec-resa.
Integrera s?kerhet i applikationsutveckling och drifts?ttning med Fortify Integration Ecosystem.
DevSecOps med Fortify m?jligg?r f?rb?ttrad testautomatisering genom hela CI/CD-pipelinen f?r att hitta kodningsmisstag.
Automatiserad statisk kodanalys hj?lper utvecklare att eliminera s?rbarheter och bygga s?ker programvara med Static Code Analyzer.
WebInspects dynamiska s?kerhetstestning av applikationer analyserar applikationer i driftl?ge och simulerar attacker mot en applikation f?r att hitta s?rbarheter.
Ta full kontroll ?ver din s?kerhetsefterlevnad f?r ?ppen k?llkod och din communitys h?lsa med Debricked och Fortify.
F? klarhet i hela f?retaget genom att sammanst?lla, analysera och rapportera utv?rderingsresultat i en enda glasruta - oavsett ursprung - med Fortify Insight.

Branschledande AppSec-l?sningar

Holistisk, inkluderande och utbyggbar applikationss?kerhetsplattform f?r att orkestrera och v?gleda din AppSec-resa med Fortify Platform.
S?kerhet som en tj?nst med Fortify p? beg?ran av 好色先生TV?.
Framg?ng f?r en produkt m?ts b?st av kunderna. Gartner Peer Insights, G2s, Fortify framg?ngshistorier fr?n kunder.
Bevisad ledare i Gartners Magic Quadrant f?r Application Security Testing.

Resurser

Vad ?r cybers?kerhet?

Utvecklarstyrd AppSec: S?kerhet i takt med DevOps position paper

好色先生TV? Identity Governance och administration

UtvaldaUtvalda

Analytics CloudAnalytics Cloud

AnalysdatabasAnalysdatabas

Analys av ostrukturerad dataAnalys av ostrukturerad data

Business Intelligence och rapporteringBusiness Intelligence och rapportering

Data DiscoveryData Discovery

eDiscovery and InvestigationseDiscovery and Investigations

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

F?retagss?kningF?retagss?kning

Aviator S?k

Business Network CloudBusiness Network Cloud

Integration av leveranskedjanIntegration av leveranskedjan

Integrationstj?nster f?r B2BIntegrationstj?nster f?r B2B

Samarbete inom ekosystemSamarbete inom ekosystem

Aff?rsn?tverk Aviator

Content CloudContent Cloud

DokumenthanteringDokumenthantering

AI-hantering av inneh?llAI-hantering av inneh?ll

Integration av f?retagIntegration av f?retag

Insamling och intelligent dokumentbearbetningInsamling och intelligent dokumentbearbetning

Information ArchivingInformation Archiving

ProcessautomatiseringProcessautomatisering

InformationsstyrningInformationsstyrning

Inneh?ll Aviator

Cybersecurity CloudCybersecurity Cloud

Applikationss?kerhetApplikationss?kerhet

Identity and Access ManagementIdentity and Access Management

Datasekretess och dataskyddDatasekretess och dataskydd

Digitala utredningar och kriminalteknikDigitala utredningar och kriminalteknik

Underr?ttelser om hot

Uppt?ckt och hantering av hotUppt?ckt och hantering av hot

Cybers?kerhet Aviator

DevOps CloudDevOps Cloud

DevOps-plattformDevOps-plattform

PPM och strategisk Portfolio ledningPPM och strategisk Portfolio ledning

KvalitetsstyrningKvalitetsstyrning

Funktionell testningFunktionell testning

PrestandateknikPrestandateknik

DevOps Aviator

Experience CloudExperience Cloud

Webb- och varum?rkesupplevelserWebb- och varum?rkesupplevelser

MeddelandenMeddelanden

Kundresa och dataKundresa och data

Media ManagementMedia Management

Analys av kontaktcenterAnalys av kontaktcenter

Erfarenhet Aviator

IT Operations CloudIT Operations Cloud

ServicehanteringServicehantering

FinOpsFinOps

AIOps och observerbarhetAIOps och observerbarhet

AutomatiseringAutomatisering

N?tverkshanteringN?tverkshantering

IT-drift Aviator

好色先生TV Tryckkraft好色先生TV Tryckkraft

Developer Cloud teknisk dokumentation

Aviator Tryckkraft

PortfolioPortfolio

Dataskydd och s?kerhetskopiering av slutpunkterDataskydd och s?kerhetskopiering av slutpunkter

Endpoint-hantering och mobil s?kerhetEndpoint-hantering och mobil s?kerhet

Hybridarbete, e-post och teamsamarbeteHybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datas?kerhetArkivering, eDiscovery och datas?kerhet

Information i ny tappning

Artificiell intelligensArtificiell intelligens

IndustriIndustri

F?retagsapplikationerF?retagsapplikationer

Din resa till framg?ngDin resa till framg?ng

Kundtj?nstKundtj?nst

Tj?nster f?r kundframg?ngTj?nster f?r kundframg?ng

Strategi & r?dgivningStrategi & r?dgivning

Konsulttj?nsterKonsulttj?nster

Tj?nster f?r l?randeTj?nster f?r l?rande

Managed ServicesManaged Services

Hitta en partner p? 好色先生TVHitta en partner p? 好色先生TV

Hitta en partnerl?sningHitta en partnerl?sning

V?xa som partnerV?xa som partner

Bli en partner

Tillg?ngsbibliotekTillg?ngsbibliotek

Bloggar

H?ndelserH?ndelser

Samh?llen

Utvalda

Analytics Cloud

Analysdatabas

Analys av ostrukturerad data

Business Intelligence och rapportering

Data Discovery

eDiscovery and Investigations

Legal Content and Knowledge Management

F?retagss?kning

Business Network Cloud

Integration av leveranskedjan

Integrationstj?nster f?r B2B

Samarbete inom ekosystem

Content Cloud

Dokumenthantering

AI-hantering av inneh?ll

Integration av f?retag

Insamling och intelligent dokumentbearbetning

Information Archiving

Processautomatisering

Informationsstyrning

Cybersecurity Cloud

Applikationss?kerhet

Identity and Access Management

Datasekretess och dataskydd

Digitala utredningar och kriminalteknik

Uppt?ckt och hantering av hot

DevOps Cloud

DevOps-plattform

PPM och strategisk Portfolio ledning

Kvalitetsstyrning

Funktionell testning

Prestandateknik

Experience Cloud

Webb- och varum?rkesupplevelser

Meddelanden

Kundresa och data

Media Management

Analys av kontaktcenter

IT Operations Cloud

Servicehantering

FinOps

AIOps och observerbarhet

Automatisering

N?tverkshantering

好色先生TV Tryckkraft

Portfolio

Dataskydd och s?kerhetskopiering av slutpunkter

Endpoint-hantering och mobil s?kerhet

Hybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datas?kerhet

Artificiell intelligens

Industri

F?retagsapplikationer

Din resa till framg?ng

Kundtj?nst

Tj?nster f?r kundframg?ng

Strategi & r?dgivning

Konsulttj?nster

Tj?nster f?r l?rande

Managed Services

Hitta en partner p? 好色先生TV

Hitta en partnerl?sning

V?xa som partner

Tillg?ngsbibliotek

H?ndelser

Kundber?ttelser

好色先生TV Navigator