Alkalmazásbiztonsági és DevSecOps-függvények

  • Cikk

Az alkalmazásbiztonság és a DevSecOps célja a biztonsági garanciák beépítése a fejlesztési folyamatokba és az egyéni üzletági (LOB) alkalmazásokba.

Korszerűsítése

Az alkalmazásfejlesztést egyszerre több szempontból is gyorsan átformázzák, beleértve a DevOps-csapatmodellt, a DevOps gyors kiadási ütemét, valamint az alkalmazások felhőszolgáltatásokon és API-kon keresztüli technikai összetételét. A változások megértéséhez tekintse meg, hogyan változtatja meg a felhő a biztonsági kapcsolatokat és a felelősségeket.

Az elavult fejlesztési modellek modernizálása lehetőséget és követelményt is jelent az alkalmazások és a fejlesztési folyamatok biztonságának modernizálásához. A biztonság DevOps-folyamatokba való egyesítését gyakran DevSecOps-nak nevezik, és olyan változásokat hajt végre, mint a következők:

  • A biztonság integrálva van, nem jóváhagyáson kívül: Az alkalmazásfejlesztés gyors üteme elavulttá teszi a klasszikus fegyverhosszúságú "vizsgálat és jelentés" megközelítéseket. Ezek az örökölt megközelítések nem tudnak lépést tartani a kiadásokkal anélkül, hogy a fejlesztést leállítanák, és időtúllépést okoznak a piacra jutásban, a fejlesztők kihasználatlanságában és a probléma-hátralék növekedésében.
    • Váltsa át a bal oldalt , hogy korábban bevonja a biztonságot az alkalmazásfejlesztési folyamatokba, mivel a korábbi problémák megoldása olcsóbb, gyorsabb és hatékonyabb. Ha megvárja a torta sütése után, nehezebb megváltoztatni az alakot.
    • Natív integráció: A biztonsági eljárásokat zökkenőmentesen kell integrálni, hogy elkerülhető legyen a fejlesztési munkafolyamatok és a folyamatos integrációs/folyamatos üzembehelyezési (CI/CD) folyamatokban jelentkező nem megfelelő súrlódás. A GitHub-megközelítéssel kapcsolatos további információkért lásd: A szoftverek biztonságossá tétele együtt.
    • Kiváló minőségű biztonság: A biztonságnak kiváló minőségű eredményeket és útmutatást kell nyújtania, amelyek lehetővé teszik a fejlesztők számára a problémák gyors megoldását, és nem pazarolják a fejlesztői időt hamis pozitív eredményekkel.
    • Átszervezett kultúra: A biztonsági, fejlesztési és üzemeltetési szerepköröknek hozzá kell járulniuk a közös kultúrához, a megosztott értékekhez, a közös célokhoz és a fiókképességekhez.
  • Agilis biztonság: Váltsa át a biztonságot egy olyan agilis megközelítésre, amely a folyamatosan növekményesen továbbfejlesztett alkalmazások (és a fejlesztési folyamatok) minimális működőképességével kezdődik.
  • A natív felhőinfrastruktúrát és biztonsági funkciókat kihasználva egyszerűsítheti a fejlesztési folyamatokat a biztonság integrálása során.
  • Ellátási lánc kockázatkezelése: A nyílt forráskódú szoftverek (OSS) és a külső összetevők megbízhatóságát zéró megbízhatóságú megközelítéssel érvényesítheti, és gondoskodhat arról, hogy ezekre az összetevőkre hibajavítások és frissítések legyenek alkalmazva.
  • Folyamatos tanulás: A fejlesztői szolgáltatások , más néven a szolgáltatásként nyújtott platform (PaaS) szolgáltatásainak gyors megjelenési üteme és az alkalmazások változó összetétele azt jelenti, hogy a fejlesztői, üzemeltetési és biztonsági csapat tagjai folyamatosan új technológiákat tanulnak.
  • Az alkalmazásbiztonság programozott megközelítése az agilis megközelítés folyamatos fejlesztésének biztosítása érdekében.

További információkért lásd: A Microsoft biztonságos fejlesztési életciklusa.

Csapatösszeállítás és kulcskapcsolatok

Az alkalmazásbiztonsági és a DevSecOps-funkciókat ideális esetben a biztonságtudatos fejlesztők és üzemeltetési csapatok hajtják végre (biztonsági szakértők támogatásával).

Ez a függvény gyakran együttműködik más függvényekkel és szakértőkkel, beleértve a következőket:

  • Biztonsági architektúra és műveletek
  • Infrastruktúra biztonsága
  • Kommunikáció (betanítás és eszközhasználat)
  • Személyi biztonság
  • Identitás és kulcsok
  • Megfelelőségi/kockázatkezelési csapatok
  • Főbb üzleti vezetők vagy képviselőik

Következő lépések

Tekintse át az adatbiztonság funkcióját.