πŸ’Ύ Archived View for byzoni.org β€Ί gemlog β€Ί 2023-06-07-devops-vs-devsecops.gmi captured on 2024-06-16 at 12:26:17. Gemini links have been rewritten to link to archived content

View Raw

More Information

⬅️ Previous capture (2023-06-14)

-=-=-=-=-=-=-

βͺ Π’Π΅Ρ€Π½ΡƒΡ‚ΡŒΡΡ ΠΊ gemlog

2023-06-07

Π”Π΅Π±Π°Ρ‚Ρ‹ DevOps vs DevSecOps Π² послСднСС врСмя Π½Π°Π±ΠΈΡ€Π°ΡŽΡ‚ всС больший ΠΎΠ±ΠΎΡ€ΠΎΡ‚ Π² ИВ-ΠΊΡ€ΡƒΠ³Π°Ρ…. Однако эти Π΄Π²Π° понятия Π½Π΅ ΡΠ²Π»ΡΡŽΡ‚ΡΡ ΠΊΠΎΠ½ΠΊΡƒΡ€Π΅Π½Ρ‚Π°ΠΌΠΈ, Π° скорСС Π΄ΠΎΠΏΠΎΠ»Π½ΡΡŽΡ‚ Π΄Ρ€ΡƒΠ³ Π΄Ρ€ΡƒΠ³Π°. Π’Π°ΠΆΠ½ΠΎ ΠΏΠΎΠ½ΠΈΠΌΠ°Ρ‚ΡŒ Ρ€Π°Π·Π½ΠΈΡ†Ρƒ ΠΌΠ΅ΠΆΠ΄Ρƒ DevOps ΠΈ DevSecOps, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π²Ρ‹Π±Ρ€Π°Ρ‚ΡŒ ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΡƒΡŽ модСль для вашСй срСды Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния. Π­Ρ‚ΠΎΡ‚ Π±Π»ΠΎΠ³ посвящСн DevOps ΠΈ DevSecOps Π² Π½Π°Π΄Π΅ΠΆΠ΄Π΅ ΠΏΠΎΠΌΠΎΡ‡ΡŒ Π²Π°ΠΌ ΠΏΡ€ΠΈΠ½ΡΡ‚ΡŒ обоснованноС Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅.

image

Π§Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ DevOps?

DevOps β€” это мСтодология, ΠΎΠ±ΡŠΠ΅Π΄ΠΈΠ½ΡΡŽΡ‰Π°Ρ Π³Ρ€ΡƒΠΏΠΏΡ‹ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΈ эксплуатации для бСспрСпятствСнной ΠΊΠΎΠΎΡ€Π΄ΠΈΠ½Π°Ρ†ΠΈΠΈ ΠΈ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½Ρ‹Ρ… ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΊΠ°ΠΆΠ΄Ρ‹ΠΉ участник раздСлял ΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²Π΅Π½Π½ΠΎΡΡ‚ΡŒ Π·Π° ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚ Π½Π° протяТСнии всСго Π΅Π³ΠΎ ΠΆΠΈΠ·Π½Π΅Π½Π½ΠΎΠ³ΠΎ Ρ†ΠΈΠΊΠ»Π°. Он ΠΎΠ±ΡŠΠ΅Π΄ΠΈΠ½ΡΠ΅Ρ‚ людСй, процСссы ΠΈ инструмСнты, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΎΠ½ΠΈ Ρ€Π°Π±ΠΎΡ‚Π°Π»ΠΈ ΠΊΠ°ΠΊ Π΅Π΄ΠΈΠ½ΠΎΠ΅ Ρ†Π΅Π»ΠΎΠ΅, автоматизируя Ρ†ΠΈΠΊΠ»Ρ‹ выпуска, быстро рСагируя Π½Π° потрСбности ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ² ΠΈ прСдоставляя качСствСнноС ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ΅ обСспСчСниС быстрСС ΠΈ эффСктивнСС.

Π§Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ DevSecOps?

DevSecOps Π² основном Π±Π΅Ρ€Π΅Ρ‚ модСль DevOps ΠΈ ΠΎΠ±Π΅Ρ€Ρ‚Ρ‹Π²Π°Π΅Ρ‚ Π΅Π΅ ΡƒΡ€ΠΎΠ²Π½Π΅ΠΌ бСзопасности. ΠŸΡ€ΠΎΡ‰Π΅ говоря, DevSecOps Π·Π½Π°ΠΊΠΎΠΌΠΈΡ‚ спСциалистов ΠΏΠΎ бСзопасности Π½Π° Ρ€Π°Π½Π½ΠΈΡ… этапах Ρ†ΠΈΠΊΠ»Π° Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния, Π° Ρ‚Π°ΠΊΠΆΠ΅ Π² процСссах Π½Π΅ΠΏΡ€Π΅Ρ€Ρ‹Π²Π½ΠΎΠΉ цСлостности (CI) ΠΈ Π½Π΅ΠΏΡ€Π΅Ρ€Ρ‹Π²Π½ΠΎΠΉ доставки (CD), Ρ‚Π°ΠΊ Ρ‡Ρ‚ΠΎ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ Ρ‚Π°ΠΊΠΆΠ΅ являСтся ΠΎΠ±Ρ‰Π΅ΠΉ ΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²Π΅Π½Π½ΠΎΡΡ‚ΡŒΡŽ ΠΊΠ°ΠΆΠ΄ΠΎΠ³ΠΎ участника Π½Π° протяТСнии всСго ΠΆΠΈΠ·Π½Π΅Π½Π½ΠΎΠ³ΠΎ Ρ†ΠΈΠΊΠ»Π° ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Π°, Ρ‡Ρ‚ΠΎ позволяСт ΠΊΠΎΠΌΠ°Π½Π΄Π°ΠΌ DevOps быстрСС ΠΏΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²Π»ΡΡ‚ΡŒ бСзопасныС прилоТСния.

Когда Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΈ ΠΏΠΈΡˆΡƒΡ‚ ΠΊΠΎΠ΄, Π·Π°Π±ΠΎΡ‚ΡΡΡŒ ΠΎ бСзопасности с ΠΏΠ΅Ρ€Π²ΠΎΠ³ΠΎ дня, Π»Π΅Π³Ρ‡Π΅ ΠΈΡΠΏΡ€Π°Π²Π»ΡΡ‚ΡŒ ошибки ΠΈ Π·Π°Ρ‰ΠΈΡ‰Π°Ρ‚ΡŒ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅, устраняя Ρ€Π°Π·Ρ€ΠΎΠ·Π½Π΅Π½Π½ΠΎΡΡ‚ΡŒ ΠΌΠ΅ΠΆΠ΄Ρƒ Ρ€Π°Π·Π½Ρ‹ΠΌΠΈ ΠΊΠΎΠΌΠ°Π½Π΄Π°ΠΌΠΈ. Π’ ΠΊΠΎΠ½Ρ†Π΅ ΠΊΠΎΠ½Ρ†ΠΎΠ², Ρ€Π΅Ρ‡ΡŒ ΠΈΠ΄Π΅Ρ‚ Π½Π΅ ΠΎ DevOps ΠΈ DevSecOps, Π° ΠΎ Ρ‚ΠΎΠΌ, ΠΊΠ°ΠΊ ΠΎΠ±Π° ΠΏΠΎΠ΄Ρ…ΠΎΠ΄Π° ΠΌΠΎΠ³ΡƒΡ‚ Π΄ΠΎΠΏΠΎΠ»Π½ΡΡ‚ΡŒ Π΄Ρ€ΡƒΠ³ Π΄Ρ€ΡƒΠ³Π°.

DevSecOps β€” это ΠΎΠ΄Π½Π° ΠΈΠ· Ρ‚Π΅Π½Π΄Π΅Π½Ρ†ΠΈΠΉ DevOps, которая ΠΈΠ·ΠΌΠ΅Π½ΠΈΡ‚ бизнСс сСйчас ΠΈ Π² Π±ΡƒΠ΄ΡƒΡ‰Π΅ΠΌ; ΠΏΠΎΠ»Π½Ρ‹ΠΉ Π±Π»ΠΎΠ³ ΠΎΠ± этом Ρ‡ΠΈΡ‚Π°ΠΉΡ‚Π΅ здСсь.

Π‘Π΄Π²ΠΈΠ³ Π²Π»Π΅Π²ΠΎ бСзопасности

Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ сдвига Π²Π»Π΅Π²ΠΎ β€” это ΠΊΠ»ΡŽΡ‡Π΅Π²ΠΎΠΉ аспСкт ΠΊΠ°ΠΆΠ΄ΠΎΠ³ΠΎ Ρ€Π°Π·Π³ΠΎΠ²ΠΎΡ€Π° DevOps ΠΏΡ€ΠΎΡ‚ΠΈΠ² DevSecOps ΠΈΠ»ΠΈ DevSecOps ΠΏΡ€ΠΎΡ‚ΠΈΠ² DevOps. Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ сдвига Π²Π»Π΅Π²ΠΎ фокусируСтся Π½Π° Ρ‚ΠΎΠΌ, Π³Π΄Π΅ слСдуСт Π²Π½Π΅Π΄Ρ€ΡΡ‚ΡŒ Π»ΡƒΡ‡ΡˆΠΈΠ΅ ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠΈ бСзопасности Π² ΠΊΠΎΠ½Π²Π΅ΠΉΠ΅Ρ€Π΅ CI/CD, Π° Ρ‚Π°ΠΊΠΆΠ΅ ΠΊΠΎΠ³Π΄Π° ΠΈ ΠΊΠ°ΠΊ ΠΈΡ… ΠΏΡ€ΠΈΠΌΠ΅Π½ΡΡ‚ΡŒ. Как слСдуСт ΠΈΠ· названия, этот ΠΏΠΎΠ΄Ρ…ΠΎΠ΄ ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»Π°Π³Π°Π΅Ρ‚ ΠΏΠ΅Ρ€Π΅ΠΌΠ΅Ρ‰Π΅Π½ΠΈΠ΅ ΠΌΠ΅Ρ€ бСзопасности, Ρ‚Π°ΠΊΠΈΡ… ΠΊΠ°ΠΊ тСстированиС, ΠΎΡ†Π΅Π½ΠΊΠ° качСства ΠΈ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ, Π² Π»Π΅Π²ΡƒΡŽ/Π½Π°Ρ‡Π°Π»ΡŒΠ½ΡƒΡŽ Ρ„Π°Π·Ρƒ ΠΊΠΎΠ½Π²Π΅ΠΉΠ΅Ρ€Π° Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния.

Π­Ρ‚ΠΎ ΠΎΠ·Π½Π°Ρ‡Π°Π΅Ρ‚ Ρ€Π°Π½Π½Π΅Π΅ ΠΈ частоС Π²ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΎΠΊ бСзопасности Π² ΠΆΠΈΠ·Π½Π΅Π½Π½Ρ‹ΠΉ Ρ†ΠΈΠΊΠ» Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния, Π° Π½Π΅ ΠΈΡ… Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΡŽ Π½Π° послСднСм этапС Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ прилоТСния.

DevSecOps устраняСт сущСствСнныС ΡƒΠ·ΠΊΠΈΠ΅ мСста, связанныС с ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ°ΠΌΠΈ бСзопасности, ΠΏΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΈ ΠΌΠΎΠ³ΡƒΡ‚ Π²Ρ‹ΡΠ²Π»ΡΡ‚ΡŒ ΠΈ ΠΈΡΠΏΡ€Π°Π²Π»ΡΡ‚ΡŒ ошибки Π½Π° Ρ€Π°Π½Π½Π΅ΠΉ стадии, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΏΠΎΠ²Ρ‹ΡΠΈΡ‚ΡŒ качСство ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния ΠΈ ΠΎΠΏΡ‚ΠΈΠΌΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ вСсь процСсс SDLC. Π’ Ρ‚ΠΎ врСмя ΠΊΠ°ΠΊ ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹ бСзопасности ΠΏΠΎΠ½ΠΈΠΌΠ°ΡŽΡ‚, ΠΊΠ°ΠΊ Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΠΊΡƒΠ»ΡŒΡ‚ΡƒΡ€Π° Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΈ с ΠΊΠ°ΠΊΠΎΠΉ ΡΠΊΠΎΡ€ΠΎΡΡ‚ΡŒΡŽ, Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΈ оснащСны инструмСнтами Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ бСзопасности ΠΈ ΠΏΠ΅Ρ€Π΅Π΄ΠΎΠ²Ρ‹ΠΌΠΈ ΠΌΠ΅Ρ‚ΠΎΠ΄Π°ΠΌΠΈ, Ρ‡Ρ‚ΠΎ ΠΏΡ€ΠΈΠ²ΠΎΠ΄ΠΈΡ‚ ΠΊ бСзопасному ΠΊΠΎΠ½Π΅Ρ‡Π½ΠΎΠΌΡƒ ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Ρƒ.

Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ, ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ ΠΈ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒ Π²ΠΊΠ»ΡŽΡ‡Π΅Π½Ρ‹ Π² Ρ†ΠΈΠΊΠ» Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΏΡ€ΠΈ сохранСнии Ρ‚ΠΎΠΉ ΠΆΠ΅ скорости развСртывания, поэтому Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ становится Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒΡŽ для бизнСса, Π° Π½Π΅ ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΈΠ΅ΠΌ.

DevOps ΠΏΡ€ΠΎΡ‚ΠΈΠ² DevSecOps: Π² Ρ‡Π΅ΠΌ Ρ€Π°Π·Π½ΠΈΡ†Π°?

Π§Ρ‚ΠΎ касаСтся DevOps ΠΈ DecSecOps, Π½Π° ΠΏΠ΅Ρ€Π²Ρ‹ΠΉ взгляд ΠΎΠ±Π° ΠΏΠΎΠ΄Ρ…ΠΎΠ΄Π° ΠΌΠΎΠ³ΡƒΡ‚ Π²Ρ‹Π³Π»ΡΠ΄Π΅Ρ‚ΡŒ ΠΎΡ‡Π΅Π½ΡŒ ΠΏΠΎΡ…ΠΎΠΆΠΈΠΌΠΈ. Однако Π΅ΡΡ‚ΡŒ Π²Π°ΠΆΠ½Ρ‹Π΅ отличия, Ρ‚Ρ€Π΅Π±ΡƒΡŽΡ‰ΠΈΠ΅ вашСго внимания. DevOps β€” это интСграция ΠΊΠΎΠΌΠ°Π½Π΄ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΈ эксплуатации Π½Π° протяТСнии всСго ΠΆΠΈΠ·Π½Π΅Π½Π½ΠΎΠ³ΠΎ Ρ†ΠΈΠΊΠ»Π° Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Π° ΠΈ совмСстноС использованиС стандартных инструмСнтов ΠΈ ΠΏΠΎΠΊΠ°Π·Π°Ρ‚Π΅Π»Π΅ΠΉ KPI.

Π—Π°Π΄Π°Ρ‡Π° ΠΈΠ½ΠΆΠ΅Π½Π΅Ρ€Π° DevOps β€” эффСктивно Π²Π½Π΅Π΄Ρ€ΠΈΡ‚ΡŒ измСнСния Π² ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅, Π½Π΅ влияя Π½Π° взаимодСйствиС с ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΌ. DevSecOps β€” это Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½ΠΈΠ΅ DevOps, ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ΅ Π²ΠΎΠ·Π½ΠΈΠΊΠ»ΠΎ, ΠΊΠΎΠ³Π΄Π° ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠ² поняли, Ρ‡Ρ‚ΠΎ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ Π½Π΅ являСтся ΠΏΡ€ΠΈΠΎΡ€ΠΈΡ‚Π΅Ρ‚ΠΎΠΌ, Π° ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ Π½Π΅ Ρ€Π΅ΡˆΠ°ΡŽΡ‚ΡΡ Π΄ΠΎΠ»ΠΆΠ½Ρ‹ΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ Π² Ρ‚Π΅ΠΊΡƒΡ‰Π΅ΠΉ ΠΌΠΎΠ΄Π΅Π»ΠΈ.

Π’Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ, Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ Π±Ρ‹Π»Π° Π²Π²Π΅Π΄Π΅Π½Π° прямо Π½Π° этапС сборки Ρ†ΠΈΠΊΠ»Π° CI/CD, Ρ‚Π°ΠΊ Ρ‡Ρ‚ΠΎ Ρ‚Π΅ΠΏΠ΅Ρ€ΡŒ ΠΈΠ½ΠΆΠ΅Π½Π΅Ρ€Ρ‹ DevOps ΠΌΠΎΠ³ΡƒΡ‚ Ρ€Π°Π·Π²Π΅Ρ€Ρ‚Ρ‹Π²Π°Ρ‚ΡŒ ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Ρ‹ с ΡƒΡ‡Π΅Ρ‚ΠΎΠΌ бСзопасности ΠΈ удобства ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ. Π Π΅Ρ‡ΡŒ ΠΈΠ΄Π΅Ρ‚ Π½Π΅ ΠΎ DevSecOps ΠΈ DevOps, Π° ΠΎΠ± Π°Π΄Π°ΠΏΡ‚Π°Ρ†ΠΈΠΈ ΠΌΠΎΠ΄Π΅Π»ΠΈ DevOps с Ρ‚ΠΎΡ‡ΠΊΠΈ зрСния бСзопасности.

image

Автоматизация бСзопасности

Автоматизация бСзопасности β€” Π΅Ρ‰Π΅ ΠΎΠ΄ΠΈΠ½ ΠΊΠ»ΡŽΡ‡Π΅Π²ΠΎΠΉ аспСкт обсуТдСния DevOps ΠΈ DevSecOps. Автоматизация бСзопасности Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ Π² сСбя Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ систСмы для расслСдования, обнаруТСния ΠΈ устранСния ΠΊΠΈΠ±Π΅Ρ€ΡƒΠ³Ρ€ΠΎΠ· Π±Π΅Π· Π²ΠΌΠ΅ΡˆΠ°Ρ‚Π΅Π»ΡŒΡΡ‚Π²Π° Ρ‡Π΅Π»ΠΎΠ²Π΅ΠΊΠ°. ΠžΡ‚ обнаруТСния ΠΊΠΈΠ±Π΅Ρ€ΡƒΠ³Ρ€ΠΎΠ· ΠΈ ΠΈΡ… сортировки Π΄ΠΎ опрСдСлСния ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰Π΅Π³ΠΎ ΠΏΠ»Π°Π½Π° исправлСния ΠΈ выполнСния Π·Π°Π΄Π°Ρ‡ ΠΏΠΎ ΡΠΌΡΠ³Ρ‡Π΅Π½ΠΈΡŽ послСдствий автоматизация бСзопасности позволяСт организациям ΠΏΠΎΠ²Ρ‹ΡΠΈΡ‚ΡŒ ΠΎΠ±Ρ‰ΡƒΡŽ ΡΡ„Ρ„Π΅ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ бСзопасности с сокращСниСм Π½Π°ΠΊΠ»Π°Π΄Π½Ρ‹Ρ… расходов.

Автоматизация бСзопасности быстрСС выявляСт ΡƒΠ³Ρ€ΠΎΠ·Ρ‹, устраняСт Ρ€ΡƒΡ‡Π½ΡƒΡŽ ΠΈ ΠΏΠΎΠ΄Π²Π΅Ρ€ΠΆΠ΅Π½Π½ΡƒΡŽ ошибкам сортировку, Ρ„ΠΈΠ»ΡŒΡ‚Ρ€Π°Ρ†ΠΈΡŽ ΠΈ Π²ΠΈΠ·ΡƒΠ°Π»ΠΈΠ·Π°Ρ†ΠΈΡŽ Π·Π°Π΄Π°Ρ‡ ΠΈ экономит вашС врСмя Π½Π° ΠΏΠΎΠ²Ρ‚ΠΎΡ€ΡΡŽΡ‰ΠΈΡ…ΡΡ Π·Π°Π΄Π°Ρ‡Π°Ρ…, позволяя Π»Π΅Π³ΠΊΠΎ Π°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΈ ΠΎΠ±ΠΌΠ΅Π½ΠΈΠ²Π°Ρ‚ΡŒΡΡ Π΄Π°Π½Π½Ρ‹ΠΌΠΈ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΠΈΠ½Ρ‚ΡƒΠΈΡ‚ΠΈΠ²Π½ΠΎ понятных ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… ΠΏΠ°Π½Π΅Π»Π΅ΠΉ ΠΈ инструмСнтов отчСтности. Π‘ΠΎΠΊΡ€Π°Ρ‰Π΅Π½ΠΈΠ΅ ΠΏΠΎΠΊΠ°Π·Π°Ρ‚Π΅Π»Π΅ΠΉ MTTD ΠΈ MTTR ΠΈ ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΠ΅ Ρ€Π΅Π½Ρ‚Π°Π±Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ инвСстиций ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‚ организациям ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΡ‚ΡŒ Π½Π°Π΄Π΅ΠΆΠ½ΡƒΡŽ Π·Π°Ρ‰ΠΈΡ‚Ρƒ всСй инфраструктуры.

Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ инфраструктуры ΠΊΠ°ΠΊ ΠΊΠΎΠ΄Π° (IaC)

Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ IaC Π²Π°ΠΆΠ½Π° ΠΏΡ€ΠΈ рассмотрСнии Π±ΠΈΡ‚Π²Ρ‹ DevSecOps ΠΏΡ€ΠΎΡ‚ΠΈΠ² DevOps. Π’Ρ€Π°Π΄ΠΈΡ†ΠΈΠΎΠ½Π½ΠΎ Π·Π°Π΄Π°Ρ‡ΠΈ ΠΎΠ±Π»Π°Ρ‡Π½ΠΎΠΉ бСзопасности Π² срСдС IaC Π²Ρ‹ΠΏΠΎΠ»Π½ΡΠ»ΠΈΡΡŒ послС ΠΏΠΎΠ΄Π³ΠΎΡ‚ΠΎΠ²ΠΊΠΈ инфраструктуры. Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ IaC Π²Ρ‹Π²ΠΎΠ΄ΠΈΡ‚ этот ΠΏΠΎΠ΄Ρ…ΠΎΠ΄ Π½Π° Π½ΠΎΠ²Ρ‹ΠΉ ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ, Ρ€Π΅ΡˆΠ°Ρ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ с ΠΎΠ±Π»Π°Ρ‡Π½ΠΎΠΉ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠ΅ΠΉ Π΄ΠΎ прСдоставлСния рСсурсов, Ρ‚Π΅ΠΌ самым устраняя Π½ΠΎΠ²Ρ‹Π΅ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹, Π²ΠΎΠ·Π½ΠΈΠΊΠ°ΡŽΡ‰ΠΈΠ΅ ΠΏΡ€ΠΈ Ρ€ΡƒΡ‡Π½ΠΎΠΉ настройкС.

Бканируя ΡˆΠ°Π±Π»ΠΎΠ½Ρ‹, ΠΌΠΎΠ΄ΡƒΠ»ΠΈ, Ρ„Π°ΠΉΠ»Ρ‹ ΠΈ ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠ΅ ΠΏΠ΅Ρ€Π΅ΠΌΠ΅Π½Π½Ρ‹Π΅ ΠΎΠ±Π»Π°ΠΊΠ°, прилоТСния ΠΈ инфраструктуры Π½Π° Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ сотСн ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊ ΠΈ извСстных уязвимостСй, IaC Security выявляСт ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ бСзопасности ΠΈ Π½Π΅ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½Ρ‹Π΅ настройки. Π—Π°Ρ‚Π΅ΠΌ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ бСзопасности Ρ€Π°Π·Π²Π΅Ρ€Π½ΡƒΡ‚Ρ‹Ρ… рСсурсов пСрСносится Π½Π° ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ IaC. Автоматизация бСзопасности позволяСт организациям быстро ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ ΠΏΠΎΠ»Π½Ρ‹ΠΉ ΠΎΡ…Π²Π°Ρ‚ срСдств контроля соотвСтствия ΠΈ Π»ΡƒΡ‡ΡˆΠΈΡ… ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊ.

Checkov ΠΈ Open Policy Agent ΠΎΡ‚ Bridgecrew β€” это Π΄Π²Π° инструмСнта с ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΌ исходным ΠΊΠΎΠ΄ΠΎΠΌ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠΌΠΎΠ³Π°ΡŽΡ‚ ΡΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Ρ„Π°ΠΉΠ»Ρ‹ IaC Π½Π° соотвСтствиС извСстным ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ°ΠΌ.

Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ CI/CD

Π—Π°Ρ‰ΠΈΡ‚Π° ΠΊΠΎΠ½Π²Π΅ΠΉΠ΅Ρ€Π° CI/CD Π½Π° ΠΊΠ°ΠΆΠ΄ΠΎΠΌ этапС Π²ΠΎ всСх задСйствованных инструмСнтах ΠΈ ​​срСдах ΠΈΠΌΠ΅Π΅Ρ‚ Ρ€Π΅ΡˆΠ°ΡŽΡ‰Π΅Π΅ Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅, ΠΏΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ всС процСссы DevOps построСны Π½Π° этой основС. Π‘Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ CI/CD Ρ€Π΅ΡˆΠ°Π΅Ρ‚ эту ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡƒ, сниТая риски бСзопасности Π½Π° всСх этапах ΠΊΠΎΠ½Π²Π΅ΠΉΠ΅Ρ€Π°. НСбСзопасный ΠΊΠΎΠ΄ (Π² основном ΠΈΠΌΠΏΠΎΡ€Ρ‚ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹ΠΉ ΠΈΠ· сторонних источников), нСсанкционированный доступ ΠΊ рСпозиториям ΠΊΠΎΠ΄Π°, нСбСзопасноС ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ сСкрСтами ΠΈ Π½Π°Ρ€ΡƒΡˆΠ΅Π½ΠΈΡ срСды Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ/тСстирования β€” Π²ΠΎΡ‚ Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΈΠ· критичСских ΡƒΠ³Ρ€ΠΎΠ· бСзопасности CI/CD, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΡƒΡΡ‚Ρ€Π°Π½ΠΈΡ‚ΡŒ.

Π­Ρ‚ΠΎ Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ многоаспСктного ΠΏΠΎΠ΄Ρ…ΠΎΠ΄Π°, ΠΏΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ для Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ Π½Π° Ρ€Π°Π·Π½Ρ‹Ρ… уровнях ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ стСка Ρ‚Ρ€Π΅Π±ΡƒΡŽΡ‚ΡΡ Ρ€Π°Π·Π½Ρ‹Π΅ инструмСнты ΠΈ ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹. НапримСр, статичСскоС тСстированиС ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½Ρ‹Ρ… ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ (SAST) ΠΈ Π°Π½Π°Π»ΠΈΠ· исходного ΠΊΠΎΠ΄Π° (SCA) Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‚ Π½Π° этапС сборки, сканируя ΠΊΠΎΠ΄ Π½Π° Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ уязвимостСй ΠΈ Π½Π΅ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΠΎΠΉ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ, Π° Amazon KMS ΠΈ Hashicorp Vault ΠΏΠΎΠΌΠΎΠ³Π°ΡŽΡ‚ ΡƒΠΏΡ€Π°Π²Π»ΡΡ‚ΡŒ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π΅ΠΌ доступа ΠΈ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ΠΌ сСкрСтами. ПониманиС Ρ€Π°Π·Π½ΠΈΡ†Ρ‹ ΠΌΠ΅ΠΆΠ΄Ρƒ DevOps ΠΈ DevSecOps являСтся ΠΊΠ»ΡŽΡ‡ΠΎΠΌ ΠΊ Π²Π½Π΅Π΄Ρ€Π΅Π½ΠΈΡŽ ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½Ρ‹Ρ… инструмСнтов ΠΈ процСссов.

image

Π¦ΠΈΠΊΠ» DevSecOps

Поиск ΡƒΠ³Ρ€ΠΎΠ· ΠΈ Ρ€Π΅Π°Π³ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ Π½Π° ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Ρ‹ бСзопасности

Автоматизация поиска ΡƒΠ³Ρ€ΠΎΠ· ΠΏΡ€ΠΈΠ²ΠΎΠ΄ΠΈΡ‚ ΠΊ Π±ΠΎΠ»Π΅Π΅ быстрому ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΡŽ ΠΈ ΡƒΡΡ‚Ρ€Π°Π½Π΅Π½ΠΈΡŽ ΡƒΠ³Ρ€ΠΎΠ· Π±Π΅Π· Π²ΠΌΠ΅ΡˆΠ°Ρ‚Π΅Π»ΡŒΡΡ‚Π²Π° Ρ‡Π΅Π»ΠΎΠ²Π΅ΠΊΠ°, Ρ‡Ρ‚ΠΎ избавляСт компанию ΠΎΡ‚ ΠΎΠ±Ρ‰ΠΈΡ… Π·Π°Ρ‚Ρ€Π°Ρ‚ Π½Π° Π²Π·Π»ΠΎΠΌ. Π’ΠΎΡ‡Π½ΠΎ Ρ‚Π°ΠΊ ΠΆΠ΅ восстановлСниС всСй экосистСмы, Π²ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‰Π΅ΠΉ нСсколько ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ, ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌ ΠΈ Ρ„Ρ€Π΅ΠΉΠΌΠ²ΠΎΡ€ΠΊΠΎΠ², Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ ΠΌΠ½ΠΎΠ³ΠΎ Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ ΠΈ срСдств. Автоматизация рСагирования Π½Π° ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Ρ‹ бСзопасности ΠΏΠΎΠΌΠΎΠ³Π°Π΅Ρ‚ быстро ΠΈ ΠΎΠ΄Π½ΠΎΠ²Ρ€Π΅ΠΌΠ΅Π½Π½ΠΎ Ρ€Π΅Π°Π³ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π½Π° ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Ρ‹.

Π˜Π½ΡΡ‚Ρ€ΡƒΠΌΠ΅Π½Ρ‚Ρ‹ DevSecOps

ВСсная интСграция бСзопасности Π² ΠΊΠΎΠ½Π²Π΅ΠΉΠ΅Ρ€ CI/CD ΠΈ автоматизация процСссов Π΄Π΅Π»Π°Π΅Ρ‚ инструмСнты тСстирования бСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ ΠΎΡ‡Π΅Π½ΡŒ Π²Π°ΠΆΠ½Ρ‹ΠΌΠΈ Π² срСдС DevOps ΠΈ DevSecOps. Π₯отя эти инструмСнты Π²Ρ‹ΡΠ²Π»ΡΡŽΡ‚ ошибки Π½Π° Ρ€Π°Π½Π½ΠΈΡ… стадиях ΠΈ ΡΠ½ΠΈΠΆΠ°ΡŽΡ‚ риски Π² Ρ€Π°Π±ΠΎΡ‡ΠΈΡ… процСссах CI/CD, ΠΎΠ½ΠΈ Ρ‚Π°ΠΊΠΆΠ΅ ΠΏΠΎΠΌΠΎΠ³Π°ΡŽΡ‚ спСциалистам ΠΏΠΎ бСзопасности Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π·Π°Π΄Π°Ρ‡ΠΈ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π° ΠΈ управлСния ΠΈ ΠΏΠΎΠ²Ρ‹ΡΠΈΡ‚ΡŒ ΠΎΠ±Ρ‰ΡƒΡŽ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ инфраструктуры.

Π’ΠΎΡ‚ список Π½Π°ΠΈΠ±ΠΎΠ»Π΅Π΅ Π²Π°ΠΆΠ½Ρ‹Ρ… инструмСнтов тСстирования бСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ:

БтатичСскоС тСстированиС бСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ (SAST)

SAST β€” это ΠΌΠ΅Ρ‚ΠΎΠ΄ тСстирования Π±Π΅Π»ΠΎΠ³ΠΎ ящика. Π˜Π½ΡΡ‚Ρ€ΡƒΠΌΠ΅Π½Ρ‚Ρ‹ SAST ΡΠΊΠ°Π½ΠΈΡ€ΡƒΡŽΡ‚ ΠΊΠΎΠ΄ прилоТСния, Ρ‚Π°ΠΊΠΎΠΉ ΠΊΠ°ΠΊ Π±Π°ΠΉΡ‚ΠΎΠ²Ρ‹ΠΉ ΠΊΠΎΠ΄, исходный ΠΊΠΎΠ΄ ΠΈ Π΄Π²ΠΎΠΈΡ‡Π½Ρ‹ΠΉ ΠΊΠΎΠ΄, Π½Π° Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ уязвимостСй ΠΈ ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ бСзопасности ΠΈ Π½Π°Π·Π½Π°Ρ‡Π°ΡŽΡ‚ ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ уязвимости бСзопасности для опрСдСлСния приоритСтности исправлСния. Как слСдуСт ΠΈΠ· названия, инструмСнты SAST ΡΠΊΠ°Π½ΠΈΡ€ΡƒΡŽΡ‚ статичСскиС ΠΈΠ»ΠΈ Π½Π΅Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‰ΠΈΠ΅ Ρ„Π°ΠΉΠ»Ρ‹ для выявлСния Ρ‚Π°ΠΊΠΈΡ… ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ, ΠΊΠ°ΠΊ SQL-ΠΈΠ½ΡŠΠ΅ΠΊΡ†ΠΈΠΈ, мСТсайтовыС сцСнарии ΠΈ сцСнарии пСрСполнСния Π±ΡƒΡ„Π΅Ρ€Π°.

БлСдуя ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏΡƒ бСзопасности сдвига Π²Π»Π΅Π²ΠΎ, инструмСнты SAST Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‚ Π½Π° οΏ½οΏ½Ρ‚Π°ΠΏΠ΅ сборки ΠΊΠΎΠ½Π²Π΅ΠΉΠ΅Ρ€Π° CI/CD, защищая прилоТСния Π½Π° Ρ€Π°Π½Π½ΠΈΡ… стадиях SDLC. НаиболСС сущСствСнным ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΈΠ΅ΠΌ этих инструмСнтов являСтся Ρ‚ΠΎ, Ρ‡Ρ‚ΠΎ ΠΎΠ½ΠΈ Π°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΡƒΡŽΡ‚ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΊΠΎΠ΄ Π² состоянии покоя ΠΈ Π½Π΅ ΠΌΠΎΠ³ΡƒΡ‚ ΡΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΊΠΎΠ΄ Π² ΠΏΡ€ΠΎΠΌΠ΅ΠΆΡƒΡ‚ΠΎΡ‡Π½ΠΎΠΉ ΠΈΠ»ΠΈ производствСнной срСдС.

SAST ΠΎΠ±Ρ‹Ρ‡Π½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ для ΠΏΡ€ΠΎΠΏΡ€ΠΈΠ΅Ρ‚Π°Ρ€Π½ΠΎΠ³ΠΎ ΠΊΠΎΠ΄Π°. Mend, SonarQube, Veracode, Checkmarx ΠΈ AppScan β€” Π²ΠΎΡ‚ нСсколько ярких ΠΏΡ€ΠΈΠΌΠ΅Ρ€ΠΎΠ² инструмСнтов SAST.

ДинамичСскоС тСстированиС бСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ (DAST)

DAST относится ΠΊ ΠΊΠ°Ρ‚Π΅Π³ΠΎΡ€ΠΈΠΈ тСстирования Ρ‡Π΅Ρ€Π½ΠΎΠ³ΠΎ ящика. Как слСдуСт ΠΈΠ· названия, инструмСнты DAST ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ для ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ Π·Π°ΠΏΡƒΡ‰Π΅Π½Π½Ρ‹Ρ… ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ. Π˜Π½ΡΡ‚Ρ€ΡƒΠΌΠ΅Π½Ρ‚ DAST прСдоставляСт врСдоносныС Π²Ρ…ΠΎΠ΄Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ для Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‰Π΅Π³ΠΎ прилоТСния ΠΈ провСряСт Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ уязвимостСй, Ρ‚Π°ΠΊΠΈΡ… ΠΊΠ°ΠΊ мСТсайтовыС сцСнарии, ΠΈΠ½ΡŠΠ΅ΠΊΡ†ΠΈΠΈ SQL, ΠΈΠ½ΡŠΠ΅ΠΊΡ†ΠΈΠΈ ОБ, Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ Ρ„Π°ΠΉΠ»ΠΎΠ² cookie, Π·Π°Π³ΠΎΠ»ΠΎΠ²ΠΊΠΈ бСзопасности ΠΈ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ бСзопасности ΠΊΠΎΠ½Ρ‚Π΅Π½Ρ‚Π°.

DAST Π½Π΅ зависит ΠΎΡ‚ языка, ΠΏΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ с Π·Π°ΠΏΡƒΡ‰Π΅Π½Π½Ρ‹ΠΌΠΈ прилоТСниями. По Ρ‚ΠΎΠΉ ΠΆΠ΅ ΠΏΡ€ΠΈΡ‡ΠΈΠ½Π΅ ΠΈΠΌ Ρ‚Π°ΠΊΠΆΠ΅ Π½Π΅ Π½ΡƒΠΆΠ΅Π½ доступ ΠΊ исходному ΠΊΠΎΠ΄Ρƒ. ΠšΡ€ΠΎΠΌΠ΅ Ρ‚ΠΎΠ³ΠΎ, ΠΎΠ½ΠΈ Ρ‚Π΅ΡΡ‚ΠΈΡ€ΡƒΡŽΡ‚ интСрфСйсы HTML ΠΈ HTTP Π²Π΅Π±-ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ. Π˜Π½ΡΡ‚Ρ€ΡƒΠΌΠ΅Π½Ρ‚Ρ‹ DAST автоматичСски Π²Ρ‹ΠΏΠΎΠ»Π½ΡΡŽΡ‚ сканированиС бСзопасности Π² тСстовой ΠΈ производствСнной срСдах ΠΈ ΠΌΠΎΠ³ΡƒΡ‚ Π»Π΅Π³ΠΊΠΎ ΠΈΠ½Ρ‚Π΅Π³Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒΡΡ с ΠΊΠΎΠ½Π²Π΅ΠΉΠ΅Ρ€ΠΎΠΌ CI/CD.

Acunetix, Netsparker, OWASP Zap, Astra Pentest ΠΈ AppScan β€” Π²ΠΎΡ‚ нСсколько ΠΏΡ€ΠΈΠΌΠ΅Ρ‡Π°Ρ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… инструмСнтов DAST, доступных Π½Π° Ρ€Ρ‹Π½ΠΊΠ΅.

Анализ состава бСзопасности (SCA)

Анализ состава бСзопасности β€” это ΠΏΠΎΠ΄Ρ…ΠΎΠ΄ ΠΊ Ρ‚Π΅ΡΡ‚ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΡŽ бСзопасности, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ сканируСт ΠΈ выявляСт уязвимости Π² систСмС бСзопасности, ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ½Ρ‹Π΅ Π»ΠΈΡ†Π΅Π½Π·ΠΈΠΈ OSS ΠΈ ΠΌΠ½ΠΎΠ³ΠΎΠ΅ Π΄Ρ€ΡƒΠ³ΠΎΠ΅ Π² ΠΊΠΎΠ΄Π΅ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ прилоТСния с ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΌ исходным ΠΊΠΎΠ΄ΠΎΠΌ. Π˜Π½ΡΡ‚Ρ€ΡƒΠΌΠ΅Π½Ρ‚Ρ‹ SCA Ρ‚Π°ΠΊΠΆΠ΅ ΠΏΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²Π»ΡΡŽΡ‚ ΠΎΡ†Π΅Π½ΠΊΡƒ ΡΠ΅Ρ€ΡŒΠ΅Π·Π½ΠΎΡΡ‚ΠΈ, Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°Ρ†ΠΈΠΈ ΠΏΠΎ ΠΈΡΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΡŽ ΠΈ ΠΏΠΎΠ΄Ρ€ΠΎΠ±Π½Ρ‹ΠΉ ΠΎΡ‚Ρ‡Π΅Ρ‚, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΏΠΎΠΌΠΎΡ‡ΡŒ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡΠΌ Π»Π΅Π³ΠΊΠΎ ΡΠ½ΠΈΠ·ΠΈΡ‚ΡŒ риски.

Π‘ ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΎΠΊ происхоТдСния ΠΈ качСства ΠΊΠΎΠ΄Π° SCA ΠΏΠΎΠΌΠΎΠ³Π°Π΅Ρ‚ Π²Ρ‹ΡΠ²Π»ΡΡ‚ΡŒ ΠΈ ΠΎΠ±Π½ΠΎΠ²Π»ΡΡ‚ΡŒ ΠΏΠ»ΠΎΡ…ΠΎ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅ΠΌΠΎΠ΅ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ΅ обСспСчСниС. Π’ Ρ‚ΠΎ врСмя ΠΊΠ°ΠΊ SAST ΠΈΠΌΠ΅Π΅Ρ‚ Π΄Π΅Π»ΠΎ с ΠΏΡ€ΠΎΠΏΡ€ΠΈΠ΅Ρ‚Π°Ρ€Π½Ρ‹ΠΌ ΠΊΠΎΠ΄ΠΎΠΌ, SCA ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ для ΠΊΠΎΠ΄Π° с ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΌ исходным ΠΊΠΎΠ΄ΠΎΠΌ.

Snyk, Veracode, Mend, Black Duck ΠΈ Sonatype Nexus Platform β€” нСсколько ярких ΠΏΡ€ΠΈΠΌΠ΅Ρ€ΠΎΠ² инструмСнтов SCA.

image

Π˜Π½ΡΡ‚Ρ€ΡƒΠΌΠ΅Π½Ρ‚Ρ‹ DevSecOps ΠΈ Ρ€Π°Π±ΠΎΡ‡ΠΈΠΉ процСсс

image

ΠœΠ΅Ρ‚ΠΎΠ΄ΠΎΠ»ΠΎΠ³ΠΈΡ OWASP Top 10

OWASP ΠΎΠ·Π½Π°Ρ‡Π°Π΅Ρ‚ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΉ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚ бСзопасности Π²Π΅Π±-ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ. По сути, это нСкоммСрчСский Ρ„ΠΎΠ½Π΄, Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‰ΠΈΠΉ ΠΏΠΎ ΠΌΠΎΠ΄Π΅Π»ΠΈ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΠΎΠ³ΠΎ сообщСства для ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΡ бСзопасности ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния. Он Ρ‚Π°ΠΊΠΆΠ΅ ΠΏΡ€Π΅Π΄Π»Π°Π³Π°Π΅Ρ‚ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡΠΌ Π±Π΅ΡΠΏΠ»Π°Ρ‚Π½ΡƒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎ бСзопасности. Π’Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ, любой ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΡ€ΠΈΡΠΎΠ΅Π΄ΠΈΠ½ΠΈΡ‚ΡŒΡΡ ΠΊ сообщСству ΠΈ внСсти свой Π²ΠΊΠ»Π°Π΄ Π² ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Ρ‹, связанныС с OWASP.

OWASP Top 10 β€” это ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ°, которая ΠΏΡ€Π΅Π΄Π»Π°Π³Π°Π΅Ρ‚ 10 Π½Π°ΠΈΠ±ΠΎΠ»Π΅Π΅ распространСнных уязвимостСй бСзопасности, Π° Ρ‚Π°ΠΊΠΆΠ΅ Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°Ρ†ΠΈΠΈ ΠΏΠΎ ΡƒΡΡ‚Ρ€Π°Π½Π΅Π½ΠΈΡŽ, основанныС Π½Π° консСнсусС участников сообщСства, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Ρ‚Π°ΠΊΠΆΠ΅ ΡΠ²Π»ΡΡŽΡ‚ΡΡ экспСртами ΠΏΠΎ бСзопасности ΠΈ ΠΎΠ±Π»Π°Π΄Π°ΡŽΡ‚ ΠΎΠ±ΡˆΠΈΡ€Π½Ρ‹ΠΌΠΈ знаниями ΠΈ ΠΎΠΏΡ‹Ρ‚ΠΎΠΌ Π² этой области. ΠžΡΠ½ΠΎΠ²Ρ‹Π²Π°ΡΡΡŒ Π½Π° частотС ΡƒΠ³Ρ€ΠΎΠ· бСзопасности, ΡΠ΅Ρ€ΡŒΠ΅Π·Π½ΠΎΡΡ‚ΠΈ ΠΈ Π²Π΅Π»ΠΈΡ‡ΠΈΠ½Π΅ воздСйствия, ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ° Top 10 Ρ€Π°Π½ΠΆΠΈΡ€ΡƒΠ΅Ρ‚ уязвимости.

Π‘ 2003 Π³ΠΎΠ΄Π° ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ° Top 10 обновляСт список ΠΊΠ°ΠΆΠ΄Ρ‹Π΅ 2-3 Π³ΠΎΠ΄Π°, учитывая ΠΌΠ΅Π½ΡΡŽΡ‰ΠΈΠ΅ΡΡ Ρ‚Π΅Π½Π΄Π΅Π½Ρ†ΠΈΠΈ Π½Π° Ρ€Ρ‹Π½ΠΊΠ΅ AppSec. АудиторскиС агСнтства Ρ€Π°ΡΡΠΌΠ°Ρ‚Ρ€ΠΈΠ²Π°ΡŽΡ‚ Π²Π½Π΅Π΄Ρ€Π΅Π½ΠΈΠ΅ Top 10 Π² CI/CD ΠΈΠ»ΠΈ SDLC ΠΊΠ°ΠΊ соблюдСниС Ρ‚Ρ€Π΅Π±ΠΎΠ²Π°Π½ΠΈΠΉ бСзопасности ΠΈ Π»ΡƒΡ‡ΡˆΠΈΡ… ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊ.

Π’ΠΎΡ‚ 10 основных рисков ΠΈ ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΊΠ°ΠΆΠ΄Ρ‹ΠΉ ΠΈΠ½ΠΆΠ΅Π½Π΅Ρ€ ΠΈ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊ DevOps Π΄ΠΎΠ»ΠΆΠ΅Π½ ΡƒΡ‡ΠΈΡ‚Ρ‹Π²Π°Ρ‚ΡŒ ΠΏΡ€ΠΈ рассмотрСнии DevOps ΠΈ DevSecOps:

image

OWASP с DevSecOps

Π Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°Ρ†ΠΈΠΈ OWASP DevSecOps ΠΏΠΎΠΌΠΎΠ³Π°ΡŽΡ‚ организациям любого Ρ€Π°Π·ΠΌΠ΅Ρ€Π° ΡΠΎΠ·Π΄Π°Ρ‚ΡŒ бСзопасный ΠΊΠΎΠ½Π²Π΅ΠΉΠ΅Ρ€ CI/CD, Π²Π½Π΅Π΄Ρ€ΠΈΠ² 10 Π»ΡƒΡ‡ΡˆΠΈΡ… ΠΌΠ΅Ρ€ бСзопасности с ΠΏΠΎΠ΄Ρ…ΠΎΠ΄ΠΎΠΌ бСзопасности сдвига Π²Π»Π΅Π²ΠΎ.

НиТС ΠΏΡ€ΠΈΠ²Π΅Π΄Π΅Π½Ρ‹ шаги ΠΏΠΎ Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°Ρ†ΠΈΠΉ OWASP DevSecOps Π² Π±Π°Π·ΠΎΠ²ΠΎΠΌ ΠΊΠΎΠ½Π²Π΅ΠΉΠ΅Ρ€Π΅ CI/CD Π² соотвСтствии с 10 основными элСмСнтами управлСния Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΡŽ.

1. Π‘ΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ рСпозитория Git

2. БтатичСскоС тСстированиС бСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ (SAST)

3. Анализ состава ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния (SCA)

4. Π˜Π½Ρ‚Π΅Ρ€Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΠ΅ тСстированиС бСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ (IAST)

5. ДинамичСскоС тСстированиС бСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ (DAST)

6. Π‘ΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ инфраструктуры ΠΊΠ°ΠΊ ΠΊΠΎΠ΄Π° (IaC)

7. Π‘ΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ инфраструктуры

8. ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° соотвСтствия

Π­Ρ‚ΠΈ шаги ΠΌΠΎΠΆΠ½ΠΎ Π½Π°ΡΡ‚Ρ€ΠΎΠΈΡ‚ΡŒ Π² соотвСтствии с ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹ΠΌΠΈ трСбованиями. ВнСдряя 10 основных элСмСнтов управлСния Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΡŽ, ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΌΠΎΠ³ΡƒΡ‚ ΡΠΎΠΊΡ€Π°Ρ‚ΠΈΡ‚ΡŒ количСство ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… сбоСв ΠΈ ошибок Π² систСмах, ΠΎΠ΄Π½ΠΎΠ²Ρ€Π΅ΠΌΠ΅Π½Π½ΠΎ защищая прилоТСния ΠΎΡ‚ ΠΊΠΈΠ±Π΅Ρ€Π°Ρ‚Π°ΠΊ. Π’ Π΄ΠΎΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ ΠΊ Π±ΠΎΠ»Π΅Π΅ Π½Π°Π΄Π΅ΠΆΠ½ΠΎΠΌΡƒ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡŽ ΠΈ Π±ΠΎΠ»Π΅Π΅ бСзопасным ΠΊΠΎΠ½Π΅Ρ‡Π½Ρ‹ΠΌ ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Π°ΠΌ ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΌΠΎΠ³ΡƒΡ‚ ΠΏΠΎΠ²Ρ‹ΡΠΈΡ‚ΡŒ свою ΠΏΠΎΠ΄Π»ΠΈΠ½Π½ΠΎΡΡ‚ΡŒ ΠΈ ΠΈΠΌΠΈΠ΄ΠΆ ΠΊΠ°ΠΊ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ, ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠ΅ трСбованиям бСзопасности.

DevOps ΠΏΡ€ΠΎΡ‚ΠΈΠ² DevSecOps: ΠΊΡƒΠ΄Π° Π΄Π²ΠΈΠ³Π°Ρ‚ΡŒΡΡ дальшС?

ΠžΠ±ΡΡƒΠΆΠ΄Π΅Π½ΠΈΠ΅ DevOps ΠΈ DevSecOps Π½Π° этом Π½Π΅ заканчиваСтся. Π•ΡΡ‚ΡŒ ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ области, Π½Π°Π΄ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌΠΈ стоит Π·Π°Π΄ΡƒΠΌΠ°Ρ‚ΡŒΡΡ:

ΠžΡ†Π΅Π½ΠΊΠ° уязвимости

ΠžΡ†Π΅Π½ΠΊΠ° уязвимости Π·Π°ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ Π² Π°Π½Π°Π»ΠΈΠ·Π΅ ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… уязвимостСй ΠΈ рисков систСмы для опрСдСлСния подвСрТСнности систСмы ΡƒΠ³Ρ€ΠΎΠ·Π°ΠΌ ΠΈ ΡƒΡ€ΠΎΠ²Π½Π΅ΠΉ ΡΠ΅Ρ€ΡŒΠ΅Π·Π½ΠΎΡΡ‚ΠΈ, Π° Ρ‚Π°ΠΊΠΆΠ΅ ΠΏΡ€Π΅Π΄Π»Π°Π³Π°Π΅Ρ‚ Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°Ρ†ΠΈΠΈ ΠΏΠΎ ΠΈΡΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΡŽ. ΠžΡ‚ Ρ„ΠΈΡˆΠΈΠ½Π³Π° ΠΈ слабости ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ Π΄ΠΎ SQL-ΠΈΠ½ΡŠΠ΅ΠΊΡ†ΠΈΠΉ ΠΈ ΠΎΡˆΠΈΠ±ΠΎΡ‡Π½Ρ‹Ρ… ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌΠΎΠ² Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ β€” ΠΎΡ†Π΅Π½ΠΊΠΈ уязвимостСй ΠΎΡ†Π΅Π½ΠΈΠ²Π°ΡŽΡ‚ прилоТСния ΠΈ систСмы Π² ΠΎΡ‚Π½ΠΎΡˆΠ΅Π½ΠΈΠΈ ΡˆΠΈΡ€ΠΎΠΊΠΎΠ³ΠΎ спСктра Π°Ρ‚Π°ΠΊ ΡƒΠ³Ρ€ΠΎΠ·.

image

Π Π°Π·Π»ΠΈΡ‡Π½Ρ‹Π΅ Ρ‚ΠΈΠΏΡ‹ ΠΎΡ†Π΅Π½ΠΎΠΊ уязвимости:

распрСдСлСния ΠΏΠΎ инфраструктурС для выявлСния Π°Ρ€Ρ…ΠΈΡ‚Π΅ΠΊΡ‚ΡƒΡ€Π½Ρ‹Ρ…, экологичСских ΠΈ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… ΠΏΠ΅Ρ€Π΅ΠΌΠ΅Π½Π½Ρ‹Ρ…, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π½Π΅Π³Π°Ρ‚ΠΈΠ²Π½ΠΎ Π²Π»ΠΈΡΡŽΡ‚ Π½Π° Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ бСспроводной установки.

БоотвСтствиС трСбованиям бСзопасности

БоотвСтствиС трСбованиям бСзопасности β€” это ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³, ΠΎΡ†Π΅Π½ΠΊΠ° ΠΈ ΠΎΡ†Π΅Π½ΠΊΠ° бСзопасности сСти ΠΈ систСм для обСспСчСния соотвСтствия Π½ΠΎΡ€ΠΌΠ°Ρ‚ΠΈΠ²Π½Ρ‹ΠΌ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ°ΠΌ ΠΈ отраслСвым стандартам бСзопасности. НСсоблюдСниС этого трСбования ΠΌΠΎΠΆΠ΅Ρ‚ привСсти ΠΊ дорогостоящим ΡƒΡ‚Π΅Ρ‡ΠΊΠ°ΠΌ Π΄Π°Π½Π½Ρ‹Ρ…, Ρ‡Ρ‚ΠΎ Π²Π»Π΅Ρ‡Π΅Ρ‚ Π·Π° собой судСбныС иски, санкции ΠΈ ΡˆΡ‚Ρ€Π°Ρ„Ρ‹.

Π’ΠΎΡ‚ нСсколько Π²Π°ΠΆΠ½Ρ‹Ρ… Ρ‚Ρ€Π΅Π±ΠΎΠ²Π°Π½ΠΈΠΉ соотвСтствия для ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΉ нСзависимо ΠΎΡ‚ Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ DevOps ΠΈ DevSecOps:

image

Π—Π°ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅

DevOps ΠΈ DevSecOps выглядят ΠΎΠ΄ΠΈΠ½Π°ΠΊΠΎΠ²ΠΎ с Ρ‚ΠΎΡ‡ΠΊΠΈ зрСния Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ, Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΠ³ΠΎ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π° ΠΈ ΠΊΡƒΠ»ΡŒΡ‚ΡƒΡ€Ρ‹ совмСстной Ρ€Π°Π±ΠΎΡ‚Ρ‹, Π½ΠΎ ΠΈΠΌΠ΅ΡŽΡ‚ Π²Π°ΠΆΠ½Ρ‹Π΅ различия. Когда Π΄Π΅Π»ΠΎ Π΄ΠΎΡ…ΠΎΠ΄ΠΈΡ‚ Π΄ΠΎ DevOps ΠΈ DevSecOps, ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹ DevOps ΡΠΎΡΡ€Π΅Π΄ΠΎΡ‚Π°Ρ‡ΠΈΠ²Π°ΡŽΡ‚ΡΡ Π½Π° частотС развСртывания ΠΈ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ, Π° ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹ DevSecOps заботятся ΠΎ бСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ Π½Π° протяТСнии всСго ΠΆΠΈΠ·Π½Π΅Π½Π½ΠΎΠ³ΠΎ Ρ†ΠΈΠΊΠ»Π° ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Π°. ΠžΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ½ΠΈΠΌΠ°ΡŽΡ‚ Ρ€Π°Π·Π½ΠΈΡ†Ρƒ ΠΌΠ΅ΠΆΠ΄Ρƒ этими двумя ΠΏΠΎΠ΄Ρ…ΠΎΠ΄Π°ΠΌΠΈ, ΠΌΠΎΠ³ΡƒΡ‚ внСсти Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹Π΅ измСнСния Π² свои процСссы, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΎΠΏΡ‚ΠΈΠΌΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΡΠΊΠΎΡ€ΠΎΡΡ‚ΡŒ, Π³ΠΈΠ±ΠΊΠΎΡΡ‚ΡŒ ΠΈ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ, ΠΏΠΎΠ²Ρ‹ΡˆΠ°Ρ ΠΏΡ€ΠΈ этом ΠΎΠ±Ρ‰ΡƒΡŽ ΡΡ„οΏ½οΏ½Π΅ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ ΠΊΠΎΠ½Π²Π΅ΠΉΠ΅Ρ€Π° доставки.