Tekniska ämnen

Vad är DevSecOps?

Illustration av IT-objekt med fokus på ett frågetecken

Översikt

DevSecOps gör det möjligt att integrera säkerhetstestning tidigare i livscykeln för programvaruutveckling, i stället för i slutet när det är svårare och dyrare att implementera sårbarheter som kräver åtgärder.

DevSecOps är en förlängning av DevOps och kallas ibland Secure DevOps. Även om DevOps kan betyda olika saker för olika personer eller organisationer innebär det både kulturella och tekniska förändringar. I idealfallet är säkerhet ett underförstått krav för framgångsrik DevOps.

DevSecOps kräver att man planerar applikations- och infrastruktursäkerhet redan från början. Rätt verktyg kan hjälpa till att uppfylla målet med kontinuerligt integrerad säkerhet, inklusive beslut som att välja en integrerad utvecklingsmiljö (IDE) med säkerhetsfunktioner. Verktygen och processen måste också kunna automatisera vissa säkerhetsgrindar för att inte sakta ner DevOps-arbetsflödet.

DevSecOps

Fördelar med DevSecOps

Utvecklare kodar inte alltid med säkerhet i åtanke. Med en DevSecOps-mentalitet får utvecklarna tillgång till förbättrad automatisering genom hela pipelinen för leverans av programvara och applikationer för att eliminera kodningsmisstag och i slutändan minska säkerhetsintrången.

Team som implementerar DevSecOps-verktyg och processer för att integrera säkerhet i sitt DevOps-ramverk kommer att kunna släppa säker programvara snabbare. Utvecklare kan säkerhetstesta kod och upptäcka säkerhetsbrister redan när koden skrivs. Automatiserade skanningar kan initieras som en del av kodincheckningar, builds, releaser eller andra komponenter i CI/CD-pipelinen. Genom att integrera med verktyg som utvecklare redan använder kan utvecklingsteamen lättare förbättra säkerhetsaspekten vid utveckling av webbapplikationer.

Vilka är de viktigaste komponenterna i DevSecOps?

DevSecOps-metoder kan innehålla dessa viktiga komponenter:

Inventering av applikationer/API

Automatisera upptäckten, profileringen och den kontinuerliga övervakningen av koden i hela portföljen. Detta kan inkludera produktionskod i datacenter, virtuella miljöer, privata moln, offentliga moln, containrar, serverlösa lösningar med mera. Använd en kombination av automatiserade verktyg för upptäckt och självinventering. Discovery-verktyg hjälper dig att identifiera vilka applikationer och API:er du har. Verktyg för självrapportering gör det möjligt för dina applikationer att inventera sig själva och rapportera sina metadata till en central databas.

Säkerhet för anpassad kod

Kontinuerlig övervakning av programvaran för att upptäcka sårbarheter under utveckling, test och drift. Leverera kod ofta så att sårbarheter kan identifieras snabbt vid varje koduppdatering.
Static Application Security Testing (SAST) skannar applikationens källfiler, identifierar grundorsaken och hjälper till att åtgärda de underliggande säkerhetsbristerna.
Dynamic Application Security Testing (DAST) simulerar kontrollerade attacker på en webbapplikation eller tjänst som körs för att identifiera sårbarheter som kan utnyttjas i en körmiljö.
Interactive Application Security Testing (IAST) ger en djupgående skanning genom att instrumentera applikationen med hjälp av agenter och sensorer för att kontinuerligt analysera applikationen, dess infrastruktur, beroenden, dataflöde samt all kod.

Säkerhet för öppen källkod

Programvara med öppen källkod (OSS) innehåller ofta säkerhetsbrister, så en komplett säkerhetsstrategi omfattar en lösning som spårar OSS-bibliotek och rapporterar sårbarheter och licensöverträdelser.
Software Composition Analysis (SCA) automatiserar insynen i programvara med öppen källkod (OSS) för riskhantering, säkerhet och efterlevnad av licenser.

Förebyggande av körtid

Skydda applikationer i produktion - nya sårbarheter kan upptäckas, eller så kanske äldre applikationer inte är under utveckling.
Loggning kan ge dig information om vilka typer av attackvektorer och system som är måltavlor. Hotinformation ger underlag för hotmodellering och processer för säkerhetsarkitektur.

Övervakning av efterlevnad

Möjliggör revisionsberedskap och ett konstant tillstånd av efterlevnad av GDPR, CCPA, PCI, etc.

Kulturella faktorer

Identifiera säkerhetsmästare, skapa säkerhetsutbildning för utvecklare, etc.

Få DevSecOps att fungera för dig

Steg 1: Bygg in säkerhet i programvarukraven
Steg 2: Testa tidigt, ofta och snabbt
Steg 3: Utnyttja integrationer för att göra applikationssäkerhet till en naturlig del av livscykeln
Steg 4: Automatisera säkerheten som en del av utvecklings- och testprocesserna
Steg 5: Övervaka och skydda efter lanseringen

Fortify hjälper till att bygga in säkerhet i DevOps

Holistisk, inkluderande och utbyggbar applikationssäkerhetsplattform för att orkestrera och vägleda din AppSec-resa.
Integrera säkerhet i applikationsutveckling och driftsättning med Fortify Integration Ecosystem.
DevSecOps med Fortify möjliggör förbättrad testautomatisering genom hela CI/CD-pipelinen för att hitta kodningsmisstag.
Automatiserad statisk kodanalys hjälper utvecklare att eliminera sårbarheter och bygga säker programvara med Static Code Analyzer.
WebInspects dynamiska säkerhetstestning av applikationer analyserar applikationer i driftläge och simulerar attacker mot en applikation för att hitta sårbarheter.
Ta full kontroll över din säkerhetsefterlevnad för öppen källkod och din communitys hälsa med Debricked och Fortify.
Få klarhet i hela företaget genom att sammanställa, analysera och rapportera utvärderingsresultat i en enda glasruta - oavsett ursprung - med Fortify Insight.

Branschledande AppSec-lösningar

Holistisk, inkluderande och utbyggbar applikationssäkerhetsplattform för att orkestrera och vägleda din AppSec-resa med Fortify Platform.
Säkerhet som en tjänst med Fortify på begäran av OpenText™.
Framgång för en produkt mäts bäst av kunderna. Gartner Peer Insights, G2s, Fortify framgångshistorier från kunder.
Bevisad ledare i Gartners Magic Quadrant för Application Security Testing.

Resurser

Vad är cybersäkerhet?

UtvaldaUtvalda

Analytics CloudAnalytics Cloud

AnalysdatabasAnalysdatabas

Analys av ostrukturerad dataAnalys av ostrukturerad data

Business Intelligence och rapporteringBusiness Intelligence och rapportering

Data DiscoveryData Discovery

eDiscovery and InvestigationseDiscovery and Investigations

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

FöretagssökningFöretagssökning

Aviator Sök

Business Network CloudBusiness Network Cloud

Integration av leveranskedjanIntegration av leveranskedjan

Integrationstjänster för B2BIntegrationstjänster för B2B

Samarbete inom ekosystemSamarbete inom ekosystem

Affärsnätverk Aviator

Content CloudContent Cloud

DokumenthanteringDokumenthantering

AI-hantering av innehållAI-hantering av innehåll

Integration av företagIntegration av företag

Insamling och intelligent dokumentbearbetningInsamling och intelligent dokumentbearbetning

Information ArchivingInformation Archiving

ProcessautomatiseringProcessautomatisering

InformationsstyrningInformationsstyrning

Innehåll Aviator

Cybersecurity CloudCybersecurity Cloud

ApplikationssäkerhetApplikationssäkerhet

Identity and Access ManagementIdentity and Access Management

Datasekretess och dataskyddDatasekretess och dataskydd

Digitala utredningar och kriminalteknikDigitala utredningar och kriminalteknik

Underrättelser om hotUnderrättelser om hot

Upptäckt och hantering av hotUpptäckt och hantering av hot

Cybersäkerhet Aviator

Developer CloudDeveloper Cloud

Information Management ServicesInformation Management Services

Developer Cloud teknisk dokumentationDeveloper Cloud teknisk dokumentation

Aviator Tryckkraft

DevOps CloudDevOps Cloud

DevOps-plattformDevOps-plattform

PPM och strategisk Portfolio ledningPPM och strategisk Portfolio ledning

KvalitetsstyrningKvalitetsstyrning

Funktionell testningFunktionell testning

PrestandateknikPrestandateknik

DevOps Aviator

Experience CloudExperience Cloud

Webb- och varumärkesupplevelserWebb- och varumärkesupplevelser

MeddelandenMeddelanden

Kundresa och dataKundresa och data

Media ManagementMedia Management

Analys av kontaktcenterAnalys av kontaktcenter

Erfarenhet Aviator

IT Operations CloudIT Operations Cloud

ServicehanteringServicehantering

FinOpsFinOps

AIOps och observerbarhetAIOps och observerbarhet

AutomatiseringAutomatisering

NätverkshanteringNätverkshantering

IT-drift Aviator

PortfolioPortfolio

Dataskydd och säkerhetskopiering av slutpunkterDataskydd och säkerhetskopiering av slutpunkter

Endpoint-hantering och mobil säkerhetEndpoint-hantering och mobil säkerhet

Hybridarbete, e-post och teamsamarbeteHybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datasäkerhetArkivering, eDiscovery och datasäkerhet

Information i ny tappningInformation i ny tappning

Artificiell intelligensArtificiell intelligens

IndustriIndustri

FöretagsapplikationerFöretagsapplikationer

Din resa till framgångDin resa till framgång

KundtjänstKundtjänst

Tjänster för kundframgångTjänster för kundframgång

Strategi & rådgivningStrategi & rådgivning

KonsulttjänsterKonsulttjänster

Tjänster för lärandeTjänster för lärande

Managed ServicesManaged Services

Hitta en partner på OpenTextHitta en partner på OpenText

Hitta en partnerlösningHitta en partnerlösning

Växa som partnerVäxa som partner

Bli en partner

TillgångsbibliotekTillgångsbibliotek

BloggarBloggar

HändelserHändelser

Utvalda

Analytics Cloud

Analysdatabas

Analys av ostrukturerad data

Business Intelligence och rapportering

Data Discovery

eDiscovery and Investigations

Legal Content and Knowledge Management

Företagssökning

Business Network Cloud

Integration av leveranskedjan

Integrationstjänster för B2B

Samarbete inom ekosystem

Content Cloud

Dokumenthantering

AI-hantering av innehåll

Integration av företag

Insamling och intelligent dokumentbearbetning

Information Archiving

Processautomatisering

Informationsstyrning

Cybersecurity Cloud

Applikationssäkerhet

Identity and Access Management

Datasekretess och dataskydd

Digitala utredningar och kriminalteknik

Underrättelser om hot

Upptäckt och hantering av hot

Developer Cloud

Information Management Services

Developer Cloud teknisk dokumentation

DevOps Cloud

DevOps-plattform

PPM och strategisk Portfolio ledning

Kvalitetsstyrning

Funktionell testning

Prestandateknik

Experience Cloud

Webb- och varumärkesupplevelser

Meddelanden

Kundresa och data

Media Management

Analys av kontaktcenter

IT Operations Cloud

Servicehantering

FinOps

AIOps och observerbarhet

Automatisering

Nätverkshantering

Portfolio

Dataskydd och säkerhetskopiering av slutpunkter

Endpoint-hantering och mobil säkerhet

Hybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datasäkerhet

Information i ny tappning

Artificiell intelligens

Industri

Företagsapplikationer

Din resa till framgång

Kundtjänst

Tjänster för kundframgång

Strategi & rådgivning

Konsulttjänster

Tjänster för lärande

Managed Services

Hitta en partner på OpenText

Hitta en partnerlösning

Växa som partner

Tillgångsbibliotek

Bloggar

Händelser

Samhällen

Kundberättelser

OpenText Navigator