- Терминология (от А до D)
- Управление возможностями ИИ
- AIOps
- Альбументации
- Производительность активов
- автоассоциатор
- обратное распространение
- Теорема Байеса
- Big Data
- Чат-бот: руководство для начинающих
- Вычислительное мышление
- Компьютерное зрение
- Матрица путаницы
- Сверточные нейронные сети
- Информационная безопасность
- Фабрика данных
- Рассказ данных
- Наука данных
- Хранилище данных
- Древо решений
- Deepfakes
- Глубокое обучение
- Глубокое обучение
- Девопс
- DevSecOps
- Диффузионные модели
- Цифровой Твин
- Уменьшение размерности
- Терминология (от E до K)
- Edge AI
- Эмоция AI
- Обучение ансамблю
- Этические Хакинг
- ETL
- Объясняемый ИИ
- Федеративное обучение
- ФинОпс
- Генеративный ИИ
- Генеративная Состязательная Сеть
- Генеративное против дискриминационного
- Повышение градиента
- Градиентный спуск
- Небольшое обучение
- Классификация изображений
- ИТ-операции (ITOps)
- Автоматизация инцидентов
- Инжиниринг влияния
- Кластеризация K-сред
- K-Ближайшие соседи
- Терминология (от L до Q)
- Терминология (от R до Z)
- Усиление обучения
- Ответственный AI
- РЛХФ
- Роботизированная автоматизация процессов
- Структурированный против неструктурированного
- Анализ настроений
- Контролируемый против неконтролируемого
- Поддержка векторных машин
- Синтетические данные
- Синтетические носители
- Классификация текста
- КрошечныйML
- Передача обучения
- Трансформаторные нейронные сети
- Тест Тьюринга
- Поиск сходства векторов
AI 101
DevSecOps — все, что вам нужно знать
опубликованный
1 год назадon
Оглавление
В современном быстро меняющемся технологическом мире разработки и развертывания программных приложений уже недостаточно. В связи с быстро растущими и развивающимися киберугрозами интеграция безопасности стала неотъемлемой частью разработки и эксплуатации. Именно здесь на сцену выходит DevSecOps как современная методология, обеспечивающая бесперебойную и безопасную конвейерную обработку программного обеспечения.
Согласно 2022 Global DevSecOps от GitLab, около 40 % ИТ-команд следуют методам DevSecOps, при этом более 75 % утверждают, что могут находить и устранять проблемы, связанные с безопасностью, на более ранних этапах процесса разработки.
Этот пост в блоге подробно расскажет обо всем, что вам нужно о DevSecOps, от его фундаментальных принципов до лучших практик DevSecOps.
Что такое DevSecOps?
DevSecOps — это эволюция практики DevOps, интегрирующая безопасность в качестве критического компонента на всех ключевых этапах конвейера DevOps. Команды разработчиков планируют, кодируют, создают и тестируют программное приложение, группы безопасности обеспечивают отсутствие уязвимостей в коде, в то время как группы эксплуатации выпускают, отслеживают или устраняют любые возникающие проблемы.
DevSecOps — это культурный сдвиг, поощряющий сотрудничество между разработчиками, специалистами по безопасности и операционными командами. С этой целью все команды несут ответственность за обеспечение высокоскоростной безопасности всего SDLC.
Что такое конвейер DevSecOps?
DevSecOps — это интеграция безопасности в каждый шаг SDLC, а не второстепенная задача. Это конвейер непрерывной интеграции и разработки (CI/CD) с интегрированными методами обеспечения безопасности, включая сканирование, аналитику угроз, применение политик, статический анализ и проверку соответствия. Встраивая средства безопасности в SDLC, DevSecOps обеспечивает раннее выявление и устранение угроз безопасности.
Критические этапы конвейера DevSecOps включают:
1. План
На этом этапе определяются модель угроз и политики. Моделирование угроз включает в себя выявление потенциальных угроз безопасности, оценку их потенциального воздействия и разработку надежной дорожной карты их устранения. В то время как применение строгих политик определяет требования безопасности и отраслевые стандарты, которые необходимо соблюдать.
2. код
На этом этапе используются подключаемые модули IDE для выявления уязвимостей безопасности в процессе кодирования. Во время написания кода такие инструменты, как Code Sight, могут обнаруживать потенциальные проблемы безопасности, такие как переполнение буфера, ошибки внедрения и неправильная проверка ввода. Эта цель интеграции безопасности на данном этапе имеет решающее значение для выявления и устранения лазеек безопасности в коде до того, как он пойдет вниз по течению.
3. строить
На этапе сборки код рецензируется, а зависимости проверяются на наличие уязвимостей. Средства проверки зависимостей [инструменты анализа состава программного обеспечения (SCA)] сканируют сторонние библиотеки и платформы, используемые в коде, на наличие известных уязвимостей. Проверка кода также является важным аспектом этапа сборки для выявления любых проблем, связанных с безопасностью, которые могли быть упущены из виду на предыдущем этапе.
4. Контрольная работа
В структуре DevSecOps тестирование безопасности является первой линией защиты от всех киберугроз и скрытых уязвимостей в коде. Инструменты статического, динамического и интерактивного тестирования безопасности приложений (SAST/DAST/IAST) являются наиболее широко используемыми автоматическими сканерами для обнаружения и устранения проблем безопасности.
DevSecOps — это больше, чем сканирование безопасности. Он включает в себя ручную и автоматическую проверку кода как важную часть исправления ошибок, лазеек и других ошибок. Кроме того, проводится надежная оценка безопасности и тестирование на проникновение, чтобы подвергнуть инфраструктуру воздействию развивающихся реальных угроз в контролируемой среде.
5. Выпуск
На этом этапе эксперты следят за тем, чтобы нормативные политики оставались неизменными до окончательного выпуска. Прозрачная проверка приложения и применения политик гарантирует, что код соответствует принятым государством нормативным положениям, политикам и стандартам.
6. Развертывание
Во время развертывания журналы аудита используются для отслеживания любых изменений, внесенных в систему. Эти журналы также помогают масштабировать безопасность платформы, помогая экспертам выявлять нарушения безопасности и обнаруживать мошеннические действия. На этом этапе широко внедряется динамическое тестирование безопасности приложений (DAST) для тестирования приложения в режиме выполнения со сценариями, воздействием, нагрузкой и данными в реальном времени.
7. операции
На завершающем этапе проводится мониторинг системы на наличие потенциальных угроз. Threat Intelligence — это современный подход, основанный на искусственном интеллекте, для обнаружения даже незначительной вредоносной активности и попыток вторжения. Он включает в себя мониторинг сетевой инфраструктуры на наличие подозрительных действий, обнаружение потенциальных вторжений и разработку соответствующих эффективных мер реагирования.
Инструменты для успешного внедрения DevSecOps
В приведенной ниже таблице дается краткое представление о различных инструментах, используемых на важнейших этапах конвейера DevSecOps.
Инструмент | Этап | Описание | Интеграция безопасности |
Kubernetes | Создание и развертывание | Платформа оркестрации контейнеров с открытым исходным кодом, которая упрощает развертывание, масштабирование и управление контейнерными приложениями. |
|
Docker | Создавайте, тестируйте и развертывайте | Платформа, которая упаковывает и доставляет приложения в виде гибких и изолированных контейнеров с помощью виртуализации на уровне ОС. |
|
анзибль | Операционный отдел | Инструмент с открытым исходным кодом, который автоматизирует развертывание и управление инфраструктурой. |
|
Дженкинс | Создавайте, развертывайте и тестируйте | Сервер автоматизации с открытым исходным кодом для автоматизации сборки, тестирования и развертывания современных приложений. |
|
GitLab | Планирование, сборка, тестирование и развертывание | Собственный веб-менеджер репозитория Git, помогающий управлять исходным кодом, отслеживать проблемы и оптимизировать разработку и развертывание приложений. |
|
Проблемы и риски, связанные с DevSecOps
Ниже приведены основные проблемы, с которыми сталкиваются организации при внедрении культуры DevSecOps.
Культурное сопротивление
Культурное сопротивление — одна из самых больших проблем при внедрении DevSecOps. Традиционные методы повышают риск неудачи из-за отсутствия прозрачности и сотрудничества. Чтобы решить эту проблему, организациям следует развивать культуру сотрудничества, опыта и общения.
Сложность современных инструментов
DevSecOps предполагает использование различных инструментов и технологий, управление которыми может быть сложным на начальном этапе. Это может привести к задержкам в проведении общеорганизационных реформ, направленных на полное внедрение DevSecOps. Чтобы решить эту проблему, организациям следует упростить свои наборы инструментов и процессы, привлекая экспертов для обучения и обучения внутренних команд.
Неадекватные методы обеспечения безопасности
Недостаточная безопасность может привести к различным рискам, включая утечку данных, потерю доверия клиентов и бремя расходов. Регулярное тестирование безопасности, моделирование угроз и проверка соответствия могут помочь выявить уязвимости и обеспечить встроенную безопасность в процесс разработки приложений.
DevSecOps революционизирует подход к безопасности разработки приложений в облаке. Новые технологии, такие как бессерверные вычисления и методы обеспечения безопасности на основе ИИ, станут новыми строительными блоками DevSecOps в будущем.
Исследуйте Unite.ai чтобы узнать больше о ряде тенденций и достижений в технологической отрасли.
Хазика — Data Scientist с большим опытом написания технического контента для компаний, занимающихся искусственным интеллектом и SaaS.
Вам может понравиться
Проблемы масштабируемости в микросервисной архитектуре: взгляд DevOps
ИИ в DevOps: оптимизация развертывания и эксплуатации программного обеспечения
Как ИИ меняет экосистему разработки программного обеспечения?
Жизненный цикл разработки ИИ: полный отказ в 2023 г.
Что такое Девопс? (Разработка и эксплуатация)
7 лучших инструментов разработки программного обеспечения для искусственного интеллекта