Трансформация DevOps в DevSecOps | OTUS

Курсы

Программирование
Выбор профессии в IT
-99%
Python Developer. Basic Специализация Python Developer Python Developer. Professional Golang Developer. Professional Базы данных iOS Developer. Basic Computer Science Android Developer. Professional Team Lead Android Developer. Basic Специализация Android-разработчик Vue.js разработчик Groovy Developer JavaScript Developer. Basic Специализация Java-разработчик C++ Developer. Basic Специализация Fullstack developer Unity Game Developer. Basic PHP Developer. Professional Agile Project Manager PostgreSQL для администраторов баз данных и разработчиков MS SQL Server Developer Unreal Engine Game Developer. Professional Web-разработчик на Python Cloud Solution Architecture Flutter Mobile Developer PHP Developer. Basic Специализация PHP Developer Rust Developer Буткемп Java Unity VR/AR Developer
Специализации Курсы в разработке Подготовительные курсы Подписка
+7 499 938-92-02

Трансформация DevOps в DevSecOps

О DevSecOps сказано уже немало. Однако важно понимать, что соответствующая трансформация DevOps в DevSecOps потребует знания как ряда современных технологий, так и некоторых методов обеспечения безопасности ПО. Давайте рассмотрим, какие конкретно технологии могут пригодиться.

1-20219-ddc36e.png

DAST

В первую очередь рассмотрим возможность по встраиванию средств динамического тестирования безопасности ПО. И здесь уместно будет упомянуть DAST. На практике динамические анализаторы программного кода позволят обнаружить уязвимости в коде, включая переполнение буфера, SQL-инъекции и т. п., причем происходит это методом черного ящика. Можно сказать, что применение динамических анализаторов -- это весомый шаг в сторону DevSecOps-практик.

RASP

Второй момент -- это самозащита приложений Runtime. Мы говорим о средстве защиты, используемом непосредственно при выполнении программы. На практике RASP выполняет анализ поведения ПО, в результате чего можно говорить о непрерывном анализе безопасности.

IAST

Как же без интерактивного тестирования безопасности? Сама по себе технология IAST позволяет анализировать приложение изнутри в процессе его работы. Происходит отслеживание выполнения кода в памяти и поиск определенных событий, способных привести к уязвимости. Впоследствии такие события анализируются и проверяются.

SAST

Средства статического тестирования тоже имеют значение. Говоря о SAST, мы говорим о способе проверки кода без необходимости запуска самой программы. Технология позволяет находить потенциальные уязвимости непосредственно в исходном программном коде, тем самым предотвращая те же уязвимости нулевого дня. Тут можно упомянуть одну из наиболее популярных классификаций -- Common Weakness Enumeration или же CWE. По сути, CWE -- это официальный реестр общих дефектов безопасности, которые могут применять хакеры в целях получения несанкционированного доступа. На деле применение SAST-инструментов во время разработки поможет вам избежать попадания ошибок на последующий уровень – CVE (Common Vulnerabilities and Exposures), то есть в базу данных общеизвестных уязвимостей по ИБ.

SCA

Тут речь идет непосредственно об анализе состава кода. В результате вы сможете находить уязвимости в компонентах, имеющих открытый код.

Вывод

Таким образом, DevSecOps представляет собой способ по интеграции задач безопасности в DevOps-методологию. Ну а для решения поставленных задач потребуется освоение новых подходов, инструментов и технологий.

По материалам блога https://pvs-studio.com/ru/blog.

Не пропустите новые полезные статьи!

Спасибо за подписку!

Мы отправили вам письмо для подтверждения вашего email.
С уважением, OTUS!

Автор
0 комментариев
Для комментирования необходимо авторизоваться