技术主题
什么是 DevSecOps?
概述
DevSecOps 能够在软件开发生命周期的早期阶段将安全测试集成到应用安全中,而不是在软件开发生命周期的末期,因为在末期发现需要缓解的漏洞时,实施起来会更加困难,成本也会更高。
DevSecOps 是DevOps 的延伸,有时也被称为安全 DevOps。虽然 DevOps 对不同的人或组织有不同的含义,但它既涉及文化变革,也涉及技术变革。在理想情况下,安全是成功 DevOps 的隐含要求。
DevSecOps要求从一开始就规划应用程序和基础架构的安全性。正确的工具可以帮助实现持续集成安全的目标,包括选择具有安全功能的集成开发环境(IDE)等决策。这些工具和流程还必须能够自动执行某些安全关卡,以避免拖慢 DevOps 工作流程。
DevSecOps
DevSecOps 的优势
开发人员在编码时并不总是考虑到安全问题。有了 DevSecOps 思维,开发人员就能在整个软件和应用程序交付管道中增强自动化,从而消除编码错误,最终减少漏洞。
实施 DevSecOps 工具和流程,将安全集成到 DevOps 框架中的团队将能更快地发布安全软件。开发人员可以测试代码的安全性,并在编写代码时发现安全漏洞。作为代码签入、构建、发布或 CI/CD 管道其他组件的一部分,可以启动自动扫描。通过与开发人员已在使用的工具集成,开发团队可以更轻松地提高网络应用程序开发的安全性。
DevSecOps 的关键要素是什么?
DevSecOps 方法可能包括这些重要组成部分:
应用程序/API 清单- 自动发现、剖析和持续监控整个产品组合中的代码。这可能包括数据中心、虚拟环境、私有云、公有云、容器、无服务器等中的生产代码。结合使用自动发现和自我清单工具。发现工具可帮助您确定拥有哪些应用程序和 API。自我报告工具使您的应用程序能够自我清查并向中央数据库报告其元数据。
- 在整个开发、测试和运行过程中,持续监控软件是否存在漏洞。频繁交付代码,以便在每次代码更新时都能迅速发现漏洞。
- 静态应用程序安全测试 (SAST) 扫描应用程序源文件,准确找出根本原因,并帮助修复潜在的安全漏洞。
- 动态应用程序安全测试 (DAST) 模拟对运行中的网络应用程序或服务的受控攻击,以识别运行环境中可利用的漏洞。
- 交互式应用程序安全测试 (IAST) 通过使用代理和传感器对应用程序进行检测,持续分析应用程序、其基础设施、依赖关系、数据流以及所有代码,从而提供深度扫描。
- 开放源码软件(OSS)经常包含安全漏洞,因此完整的安全方法包括跟踪开放源码软件库、报告漏洞和违反许可证规定的解决方案。
- 软件构成分析 (SCA) 可自动查看开放源码软件 (OSS),以实现风险管理、安全性和许可证合规性。
- 保护生产中的应用程序--可能会发现新的漏洞,或者遗留应用程序可能不在开发阶段。
- 日志记录可为您提供有关攻击载体和系统类型的信息。威胁情报可为威胁建模和安全架构流程提供信息。
- 为审计做好准备,并始终符合 GDPR、CCPA、PCI 等标准。
- 确定安全卫士,为开发人员提供安全培训等。
让 DevSecOps 为您服务
第1步:将安全纳入软件要求
第 2步:尽早、经常、快速测试
第 3 步:利用集成使应用程序安全成为生命周期的自然组成部分
第 4 步:将安全自动化作为开发和测试流程的一部分
第 5步:发布后进行监控和保护
Fortify 帮助将安全性融入 DevOps
- 全面、包容和可扩展的应用安全平台,可协调和指导您的应用安全之旅。
- 利用Fortify 集成生态系统,将安全性嵌入到应用程序开发和部署中。
- 通过Fortify ,DevSecOps 可以在整个 CI/CD 管道中增强测试自动化,从而发现编码错误。
- 使用静态代码分析器(Static Code Analyzer)进行自动静态代码分析,可帮助开发人员消除漏洞并构建安全的软件。
- WebInspect 动态应用程序安全测试可分析运行状态下的应用程序,并模拟针对应用程序的攻击以查找漏洞。
- 利用 Debricked 和Fortify 全面控制开源安全合规性和社区健康。
- 通过Fortify Insight,将评估结果汇总、分析和报告到一个玻璃面板中(无论其来源如何),从而使整个企业的评估结果更加清晰明了。
行业领先的 AppSec 解决方案
- 全面、包容和可扩展的应用安全平台,通过Fortify Platform 协调和指导您的应用安全之旅。
- 安全即服务Fortify on Demand byOpenText™ 。
- 客户是衡量产品成功与否的最佳标准。Gartner Peer Insights、G2s、Fortify 客户成功案例。
- Gartner 应用程序安全测试魔力象限中公认的领导者。
