Трансформация DevOps в DevSecOps | OTUS
Скидка до 15% на курсы декабря и января
❄️ До 25.12 Забрать скидку! →
Выбрать курс

Трансформация DevOps в DevSecOps

devsecops_баннер_узкии__копия-20219-f5ab65.jpg

О DevSecOps сказано уже немало. Однако важно понимать, что соответствующая трансформация DevOps в DevSecOps потребует знания как ряда современных технологий, так и некоторых методов обеспечения безопасности ПО. Давайте рассмотрим, какие конкретно технологии могут пригодиться.

1-20219-ddc36e.png

DAST

В первую очередь рассмотрим возможность по встраиванию средств динамического тестирования безопасности ПО. И здесь уместно будет упомянуть DAST. На практике динамические анализаторы программного кода позволят обнаружить уязвимости в коде, включая переполнение буфера, SQL-инъекции и т. п., причем происходит это методом черного ящика. Можно сказать, что применение динамических анализаторов -- это весомый шаг в сторону DevSecOps-практик.

RASP

Второй момент -- это самозащита приложений Runtime. Мы говорим о средстве защиты, используемом непосредственно при выполнении программы. На практике RASP выполняет анализ поведения ПО, в результате чего можно говорить о непрерывном анализе безопасности.

IAST

Как же без интерактивного тестирования безопасности? Сама по себе технология IAST позволяет анализировать приложение изнутри в процессе его работы. Происходит отслеживание выполнения кода в памяти и поиск определенных событий, способных привести к уязвимости. Впоследствии такие события анализируются и проверяются.

SAST

Средства статического тестирования тоже имеют значение. Говоря о SAST, мы говорим о способе проверки кода без необходимости запуска самой программы. Технология позволяет находить потенциальные уязвимости непосредственно в исходном программном коде, тем самым предотвращая те же уязвимости нулевого дня. Тут можно упомянуть одну из наиболее популярных классификаций -- Common Weakness Enumeration или же CWE. По сути, CWE -- это официальный реестр общих дефектов безопасности, которые могут применять хакеры в целях получения несанкционированного доступа. На деле применение SAST-инструментов во время разработки поможет вам избежать попадания ошибок на последующий уровень – CVE (Common Vulnerabilities and Exposures), то есть в базу данных общеизвестных уязвимостей по ИБ.

SCA

Тут речь идет непосредственно об анализе состава кода. В результате вы сможете находить уязвимости в компонентах, имеющих открытый код.

Вывод

Таким образом, DevSecOps представляет собой способ по интеграции задач безопасности в DevOps-методологию. Ну а для решения поставленных задач потребуется освоение новых подходов, инструментов и технологий.

По материалам блога https://pvs-studio.com/ru/blog.

Хотите знать больше? Добро пожаловать на курс DevSecOps!

devsecops_баннер_узкии__копия-20219-f5ab65.jpg

Не пропустите новые полезные статьи!

Спасибо за подписку!

Мы отправили вам письмо для подтверждения вашего email.
С уважением, OTUS!

Автор
0 комментариев
Для комментирования необходимо авторизоваться
Популярное
Сегодня тут пусто
Новогодние скидки в Otus!-15% ❄️
Успейте забрать свою скидку до 28.12 →