什麼是 DevSecOps？

DevSecOps 支援在軟體開發生命週期的早期 應用程式安全性 中集成安全測試，而不是在需要緩解的漏洞發現更難實施且成本更高時集成安全測試。

DevSecOps 是 DevOps 的擴展，有時也稱為 Secure DevOps。雖然DevOps對不同的人或組織可能意味著不同的事情，但它需要文化和技術上的改變。理想情況下，安全性是成功的DevOps的隱含要求。

DevSecOps 需要從一開始就規劃應用程式和基礎架構安全性。正確的工具可以幫助實現持續整合安全性的目標，包括選擇具有安全功能的集成開發環境 （IDE） 等決策。這些工具和流程還必須能夠自動執行一些安全門，以防止減慢DevOps工作流程的速度。

DevSecOps 的優勢

開發人員在編寫代碼時並不總是考慮到安全性。借助 DevSecOps 思維，開發人員可以在整個 軟體和應用程式交付 管道中增強自動化，以消除編碼錯誤並最終減少 違規行為。

實施DevSecOps工具和流程以將安全性集成到其DevOps框架中的團隊將能夠更快地發佈安全軟體。開發人員可以測試代碼的安全性，並在編寫代碼時檢測安全漏洞。自動掃描可以作為代碼簽入、生成、發佈或 CI/CD 管道的其他元件的一部分啟動。通過與開發人員已經在使用的工具集成，開發團隊可以更輕鬆地提高 Web 應用程式開發的安全性。

---

DevSecOps 的關鍵元件是什麼

DevSecOps 方法可能包括以下重要元件：

應用程式/API 清單

• 自動發現、分析和持續監控整個產品群組中的代碼。這可能包括數據中心、虛擬環境、私有雲、公有雲、容器、無伺服器等中的產品級代碼。結合使用自動發現和自我清點工具。發現工具可幫助你確定你擁有的應用程式和 API。自我報告工具使應用程式能夠清點自身並將其元數據報告給中央資料庫。

自訂代碼安全性

• 在整個開發、測試和運營過程中持續監控軟體的漏洞。經常交付代碼，以便在每次代碼更新時快速識別漏洞。
• 靜態應用程式安全測試 （SAST） 掃描應用程式源檔，準確識別根本原因並幫助修復底層安全漏洞。
• 動態應用程式安全測試 （DAST） 類比對正在運行的 Web 應用程式或服務的受控攻擊，以識別正在運行的環境中可利用的漏洞。
• 互動式應用程式安全測試 （IAST） 通過使用代理和感測器檢測應用程式來持續分析應用程式、其基礎結構、依賴項、數據流以及所有代碼，從而提供深度掃描。

開源安全

• 開源軟體 （OSS） 通常包含安全漏洞，因此完整的安全方法包括跟蹤 OSS 庫並報告漏洞和許可證違規的解決方案。
• 軟體組合分析 （SCA） 可自動實現對開源軟體 （OSS） 的可見性，以實現風險管理、安全性和許可證合規性。

運行時預防

• 保護生產環境中的應用程式 – 可能會發現新的漏洞，或者遺留應用程式可能不在開發中。
• 日誌記錄可以告知您針對的攻擊媒介和系統類型。威脅情報為威脅建模和安全架構流程提供資訊。

合規性監控

• 實現GDPR、CCPA、PCI等的審計準備和持續的合規狀態。

文化因素

• 確定安全擁護者，為開發人員建立安全培訓等。

---

讓 DevSecOps 為您服務

步驟1： 將安全性納入軟體需求
步驟2： 儘早、頻繁、快速地進行測試
步驟3： 利用集成使應用程式安全成為生命週期的自然組成部分
第 4 步：在開發和測試過程中實現安全性自動化
步驟5： 釋放後進行監控和保護

---

Fortify 説明在 DevOps 中構建安全性

• 全面、包容且可擴展的應用安全平臺，用於編排和指導您的AppSec之旅。
• 將安全性嵌入到應用程式開發和部署中 Fortify 集成生態系統。
• DevSecOps 與 Fortify 在整個 CI/CD 管道中實現增強的測試自動化，以發現編碼錯誤。
• 自動靜態代碼分析可幫助開發人員消除漏洞並使用靜態代碼分析器構建安全軟體。
• WebInspect 動態應用程式安全測試分析處於運行狀態的應用程式，並類比針對應用程式的攻擊以查找漏洞。
• 使用 Debricked 和 Fortify.
• 通過將評估結果匯總、分析和報告到單一管理平臺（無論其來源如何）中，使整個企業變得清晰 Fortify 洞察力。

---

行業領先的AppSec解決方案

• 全面、包容和可擴展的應用程式安全平台，通過 Fortify 平臺。
• 安全即服務 Fortify 按需提供 OpenText™.
• 產品的成功最好由客戶來衡量。Gartner Peer Insights、G2s、 Fortify 客戶成功案例。
• 在 Gartner 應用安全測試魔力象限中公認的領導者。