Рекомендации по использованию DevSecOps

DevSecOps может стать закономерным этапом по интеграции средств обеспечения безопасности в непосредственные процессы разработки, доставки и эксплуатации программного обеспечения. Давайте рассмотрим основные рекомендации, связанные с этим подходом.

Shift left

DevSecOps-подход реализует принцип Shift left -- «сдвиг влево». Данная концепция помогает разработчикам переместить задачи безопасности с правой части (с конца) цикла DevOps-доставки в левую часть (в начало). В DevSecOps-среде безопасность изначально является неотъемлемой частью всего процесса разработки ПО. Если компания следует принципам DevSecOps, то инженеры и архитекторы кибербезопасности включены в состав команды разработчиков. Задача данных специалистов — удостовериться, что каждый компонент/элемент конфигурации в стеке исправлен, а также сконфигурирован с учетом требований безопасности и задокументирован.

Принцип Shift left дает возможность DevSecOps-специалистам находить и устранять риски и угрозы, связанные с информационной безопасностью, на самых ранних этапах. Разработчики ПО не только стремятся к эффективной работе продукта, но и стараются реализовать меры безопасности уже на этапе разработки.

Обучение в сфере ИБ

Безопасность представляет собой, по сути, сочетание нормативных требований и инженерно-технических решений. То есть компании объединяют в единое сообщество специалистов по нормативному контролю, разработке и эксплуатации. Все сделано для того, чтобы каждый сотрудник понимал суть корпоративной системы безопасности и следовал единым стандартам.

На практике все участники жизненного цикла доставки программного обеспечения должны быть знакомы с основными принципами защиты приложений. Речь идет, к примеру, о топ-10 наиболее опасных уязвимостей OWASP (Open Web Application Security Project). Также необходимо знать методы тестирования безопасности приложений, подходы к проектированию ПО. Если говорить непосредственно о разработчиках ПО, то им важно понимать модели угроз. Кроме того, разработчики должны: - иметь практические навыки оценки рисков и угроз; - знать особенности реализации средств контроля безопасности; - понимать специфику проверки ПО на соответствие нормативным требованиям.

Культура: люди и взаимодействие, процессы и технологии

Высокие лидерские качества руководителя помогут сформировать культуру, которая станет стимулировать изменения внутри организации. Также весьма важную роль в DevSecOps играет процесс эффективного донесения информации об обязанностях владельцев продуктов с точки зрения информационной безопасности. И инженеры с разработчиками смогут стать владельцами процессов и быть в полной мере ответственными за свою работу только в том случае, если вышенаписанное условие соблюдается.

Остается добавить, что специалисты по эксплуатации DevSecOps должны сформировать удобную для себя систему, а также выбрать технологии и протоколы с учетом конкретного проекта и конкретной команды. А если вы предоставите своим сотрудникам возможность самостоятельно создавать рабочую среду с учетом текущих потребностей, вы сделаете их проактивными участниками, заинтересованными в результате проекта.

По материалам https://www.ibm.com/cloud/learn/devsecops.