Трансформация DevOps в DevSecOps
О DevSecOps сказано уже немало. Однако важно понимать, что соответствующая трансформация DevOps в DevSecOps потребует знания как ряда современных технологий, так и некоторых методов обеспечения безопасности ПО. Давайте рассмотрим, какие конкретно технологии могут пригодиться.
DAST
В первую очередь рассмотрим возможность по встраиванию средств динамического тестирования безопасности ПО. И здесь уместно будет упомянуть DAST. На практике динамические анализаторы программного кода позволят обнаружить уязвимости в коде, включая переполнение буфера, SQL-инъекции и т. п., причем происходит это методом черного ящика. Можно сказать, что применение динамических анализаторов -- это весомый шаг в сторону DevSecOps-практик.
RASP
Второй момент -- это самозащита приложений Runtime. Мы говорим о средстве защиты, используемом непосредственно при выполнении программы. На практике RASP выполняет анализ поведения ПО, в результате чего можно говорить о непрерывном анализе безопасности.
IAST
Как же без интерактивного тестирования безопасности? Сама по себе технология IAST позволяет анализировать приложение изнутри в процессе его работы. Происходит отслеживание выполнения кода в памяти и поиск определенных событий, способных привести к уязвимости. Впоследствии такие события анализируются и проверяются.
SAST
Средства статического тестирования тоже имеют значение. Говоря о SAST, мы говорим о способе проверки кода без необходимости запуска самой программы. Технология позволяет находить потенциальные уязвимости непосредственно в исходном программном коде, тем самым предотвращая те же уязвимости нулевого дня. Тут можно упомянуть одну из наиболее популярных классификаций -- Common Weakness Enumeration или же CWE. По сути, CWE -- это официальный реестр общих дефектов безопасности, которые могут применять хакеры в целях получения несанкционированного доступа. На деле применение SAST-инструментов во время разработки поможет вам избежать попадания ошибок на последующий уровень – CVE (Common Vulnerabilities and Exposures), то есть в базу данных общеизвестных уязвимостей по ИБ.
SCA
Тут речь идет непосредственно об анализе состава кода. В результате вы сможете находить уязвимости в компонентах, имеющих открытый код.
Вывод
Таким образом, DevSecOps представляет собой способ по интеграции задач безопасности в DevOps-методологию. Ну а для решения поставленных задач потребуется освоение новых подходов, инструментов и технологий.
По материалам блога https://pvs-studio.com/ru/blog.
Хотите знать больше? Добро пожаловать на курс DevSecOps!
