- Terminija (A–D)
- AI galimybių valdymas
- AIOps
- albumai
- Turto našumas
- Autoencoder
- Atgalinis dauginimas
- Bayeso teorema
- Dideliu duomenų kiekiu
- „Chatbot“: vadovas pradedančiajam
- Kompiuterinis mąstymas
- Kompiuterio vizija
- Sumišimo matrica
- Konvoliuciniai neuroniniai tinklai
- Kibernetinė sauga
- Duomenų audinys
- Duomenų pasakojimas
- duomenų Mokslas
- Duomenų saugojimas
- Sprendimų medis
- Gilūs klastotės
- Gilus mokymasis
- Gilaus sutvirtinimo mokymasis
- devops
- „DevSecOps“
- Difuzijos modeliai
- Skaitmeninis dvynys
- Matmenų mažinimas
- Terminija (nuo E iki K)
- Edge AI
- Emocijų AI
- Ansamblio mokymasis
- Etinis įsilaužimas
- ETL
- Paaiškinamas AI
- Federuotas mokymasis
- FinOps
- Generatyvinis AI
- Generacinis prieštaringų tinklas
- Generatyvus prieš diskriminacinį
- Gradiento didinimas
- Gradiento nusileidimas
- Mokymasis iš kelių kartų
- Vaizdo klasifikacija
- IT operacijos (ITOps)
- Incidentų automatizavimas
- Įtakos inžinerija
- „K“ reiškia grupavimą
- K-Artimiausi kaimynai
- Terminija (L–Q)
- Terminija (nuo R iki Z)
- Stiprinimo mokymasis
- Atsakingas AI
- RLHF
- Robotų procesų automatizavimas
- Struktūrinis vs nestruktūrinis
- Sentimentų analizė
- Prižiūrimas prieš neprižiūrimą
- Palaikykite vektorines mašinas
- Sintetiniai duomenys
- Sintetinės laikmenos
- Teksto klasifikacija
- TinyML
- Mokymasis perkelti
- Transformatorių neuroniniai tinklai
- Tiuringo testas
- Vektorių panašumo paieška
AI 101 m
DevSecOps – viskas, ką reikia žinoti
paskelbta
prieš 1 metųon
By
Haziqa SajidTurinys
Šiandieniniame sparčiai besivystančiame, technologijomis paremtame pasaulyje programinės įrangos kūrimo ir diegimo nebepakanka. Sparčiai didėjant ir besivystančioms kibernetinėms grėsmėms, saugumo integracija tapo neatsiejama plėtros ir veiklos dalimi. Čia DevSecOps įeina į rėmą kaip moderni metodika, užtikrinanti vientisą ir saugų programinės įrangos vamzdyną.
Pagal „GitLab“ 2022 m. „Global DevSecOps“., maždaug 40 % IT komandų laikosi DevSecOps praktikos, o daugiau nei 75 % teigia, kad gali anksčiau kūrimo proceso metu rasti ir išspręsti su sauga susijusias problemas.
Šiame tinklaraščio įraše bus išsamiai aprašyta viskas, ko jums reikia apie „DevSecOps“, nuo pagrindinių principų iki geriausios „DevSecOps“ praktikos.
Kas yra „DevSecOps“?
„DevSecOps“ yra „DevOps“ praktikos evoliucija, integruojanti saugumą kaip esminį komponentą visuose pagrindiniuose „DevOps“ dujotiekio etapuose. Kūrimo komandos planuoja, koduoja, kuria ir išbando programinę įrangą, saugos komandos užtikrina, kad kode nebūtų pažeidžiamumų, o operacijų komandos išleidžia, stebi arba sprendžia visas iškilusias problemas.
„DevSecOps“ yra kultūrinis pokytis, skatinantis kūrėjų, saugos specialistų ir operacijų komandų bendradarbiavimą. Šiuo tikslu visos komandos yra atsakingos už didelio greičio saugumo užtikrinimą visame SDLC.
Kas yra „DevSecOps Pipeline“?
„DevSecOps“ yra skirtas saugos integravimui į kiekvieną SDLC veiksmą, o ne tai, kad tai būtų pasenusi mintis. Tai nuolatinio integravimo ir plėtros (CI/CD) vamzdynas su integruota saugumo praktika, įskaitant nuskaitymą, grėsmių žvalgybą, politikos vykdymą, statinę analizę ir atitikties patvirtinimą. Įterpdama saugą į SDLC, „DevSecOps“ užtikrina, kad saugumo rizika būtų identifikuota ir pašalinta anksti.
Svarbiausi „DevSecOps“ dujotiekio etapai yra šie:
1. Planuokite
Šiame etape apibrėžiamas grėsmės modelis ir politika. Grėsmių modeliavimas apima galimų saugumo grėsmių nustatymą, galimo jų poveikio įvertinimą ir tvirto sprendimo plano suformulavimą. Tuo tarpu griežtos politikos vykdymas nustato saugumo reikalavimus ir pramonės standartus, kurių turi būti laikomasi.
2. kodas
Šis etapas apima IDE įskiepių naudojimą, siekiant nustatyti saugos spragas kodavimo proceso metu. Kai koduojate, tokie įrankiai kaip „Code Sight“ gali aptikti galimas saugos problemas, tokias kaip buferio perpildymas, injekcijos trūkumai ir netinkamas įvesties patvirtinimas. Šis saugumo integravimo tikslas šiame etape yra labai svarbus nustatant ir ištaisant saugos spragas kode, kol jis nepasiekiamas.
3. Pastatyti
Kūrimo etape kodas peržiūrimas ir tikrinamos priklausomybės, ar nėra pažeidžiamumų. Priklausomybės tikrintuvai [Software Composition Analysis (SCA) įrankiai] nuskaito trečiųjų šalių bibliotekas ir sistemas, naudojamas kode, ieškant žinomų pažeidžiamumų. Kodo peržiūra taip pat yra esminis kūrimo etapo aspektas, siekiant nustatyti bet kokias su sauga susijusias problemas, kurios galėjo būti nepastebėtos ankstesniame etape.
4. Testas
„DevSecOps“ sistemoje saugumo testavimas yra pirmoji gynybos linija nuo visų kibernetinių grėsmių ir paslėptų kodo pažeidžiamumų. Statinio, dinaminio ir interaktyvaus programų saugos testavimo (SAST / DAST / IAST) įrankiai yra plačiausiai naudojami automatiniai skaitytuvai, skirti aptikti ir išspręsti saugos problemas.
„DevSecOps“ yra daugiau nei saugos nuskaitymas. Tai apima rankinį ir automatinį kodų peržiūrą, kaip esminę klaidų, spragų ir kitų klaidų taisymo dalį. Be to, atliekamas patikimas saugumo įvertinimas ir įsiskverbimo bandymai, kad infrastruktūra būtų atskleista besivystančioms realaus pasaulio grėsmėms kontroliuojamoje aplinkoje.
5. Atleiskite
Šiame etape ekspertai užtikrina, kad reguliavimo politika būtų nepažeista prieš galutinį išleidimą. Skaidrus taikymo ir politikos vykdymo patikrinimas užtikrina, kad kodeksas atitiktų valstybės priimtas reguliavimo gaires, politiką ir standartus.
6. Dislokuoti
Diegimo metu audito žurnalai naudojami bet kokiems sistemos pakeitimams stebėti. Šie žurnalai taip pat padeda padidinti sistemos saugumą, nes ekspertai padeda nustatyti saugumo pažeidimus ir aptikti nesąžiningą veiklą. Šiame etape plačiai įdiegtas dinaminis programų saugos testavimas (DAST), kad programa būtų išbandyta vykdymo režimu, naudojant realiojo laiko scenarijus, poveikį, įkėlimą ir duomenis.
7. Operacijos
Paskutiniame etape sistema stebima, ar nėra galimų grėsmių. Grėsmių žvalgyba yra modernus AI pagrįstas metodas, leidžiantis aptikti net nedidelę kenkėjišką veiklą ir bandymus įsilaužti. Tai apima tinklo infrastruktūros stebėjimą, ar nėra įtartinos veiklos, galimų įsibrovimų aptikimą ir atitinkamų veiksmingų atsakymų suformulavimą.
Sėkmingo „DevSecOps“ diegimo įrankiai
Toliau pateiktoje lentelėje pateikiama trumpa įžvalga apie įvairius įrankius, naudojamus svarbiuose „DevSecOps“ dujotiekio etapuose.
Įrankis | Etapas | Aprašymas | Saugumo integracija |
Kubernetes | Sukurti ir įdiegti | Atvirojo kodo konteinerių orkestravimo platforma, kuri supaprastina konteinerinių programų diegimą, mastelį ir valdymą. |
|
dokininkas | Kurti, išbandyti ir įdiegti | Platforma, kuri supakuoja ir pateikia programas kaip lanksčius ir izoliuotus konteinerius, naudojant OS lygio virtualizaciją. |
|
Galimas | operacijos | Atvirojo kodo įrankis, automatizuojantis infrastruktūros diegimą ir valdymą. |
|
Jenkins | Kurti, diegti ir išbandyti | Atvirojo kodo automatizavimo serveris, skirtas automatizuoti modernių programų kūrimą, testavimą ir diegimą. |
|
GitLab | Planavimas, kūrimas, bandymas ir diegimas | Žiniatinklio „Git“ saugyklos tvarkyklė, padedanti valdyti šaltinio kodą, sekti problemas ir supaprastinti programų kūrimą bei diegimą. |
|
Su DevSecOps susiję iššūkiai ir rizika
Žemiau pateikiami svarbiausi iššūkiai, su kuriais susiduria organizacijos perimdamos DevSecOps kultūrą.
Kultūrinis pasipriešinimas
Kultūrinis pasipriešinimas yra vienas didžiausių iššūkių diegiant „DevSecOps“. Tradiciniai metodai padidina nesėkmės riziką dėl skaidrumo ir bendradarbiavimo trūkumo. Norėdami tai išspręsti, organizacijos turėtų puoselėti bendradarbiavimo, patirties ir bendravimo kultūrą.
Šiuolaikinių įrankių sudėtingumas
„DevSecOps“ apima įvairių įrankių ir technologijų naudojimą, kuriuos iš pradžių gali būti sudėtinga valdyti. Dėl to gali vėluoti visos organizacijos reformos, siekiant visiškai pritaikyti „DevSecOps“. Kad tai išspręstų, organizacijos turėtų supaprastinti savo įrankių grandines ir procesus įtraukdamos ekspertus, kurie mokytų ir mokytų vidines komandas.
Netinkama saugumo praktika
Nepakankamas saugumas gali sukelti įvairių pavojų, įskaitant duomenų pažeidimus, klientų pasitikėjimo praradimą ir išlaidų naštą. Reguliarus saugumo testavimas, grėsmių modeliavimas ir atitikties tikrinimas gali padėti nustatyti pažeidžiamumą ir užtikrinti, kad saugumas būtų įtrauktas į programų kūrimo procesą.
„DevSecOps“ iš esmės keičia programų kūrimo debesyje saugos poziciją. Ateityje naujos „DevSecOps“ sudedamosios dalys bus naujos technologijos, pvz., kompiuteris be serverių ir AI pagrįsta saugos praktika.
Žiūrėti Unite.ai Norėdami sužinoti daugiau apie įvairias technologijų pramonės tendencijas ir pažangą.
Haziqa yra duomenų mokslininkas, turintis didelę patirtį rašant techninį turinį AI ir SaaS įmonėms.
Jums gali patikti
Mastelio keitimo iššūkiai mikropaslaugų architektūroje: „DevOps“ perspektyva
AI programoje „DevOps“: programinės įrangos diegimo ir operacijų supaprastinimas
Kaip AI pertvarko programinės įrangos kūrimo ekosistemą?
AI kūrimo gyvavimo ciklas: visiškas suskirstymas 2023 m
Kas yra Devops? (Kūrimas ir operacijos)
7 geriausi AI programinės įrangos kūrimo įrankiai