應用程式安全性和 DevSecOps 功能

應用程式安全性和 DevSecOps 的目標是要將安全性保證整合至開發程序及自訂的企業營運 (LOB) 應用程式。

現代化

應用程式開發正迅速在多方面同時進行重整，包括 DevOps 團隊模型、DevOps 快速發行頻率，及透過雲端服務和 API 對應用程式進行技術組成。 來看看雲端如何改變安全性關聯和責任，以了解這些變更。

這種老舊開發模型的現代化是一種商機，同時也顯現將應用程式和開發流程的安全性現代化的必要性。 安全性與 DevOps 的融合通常稱為 DevSecOps，並驅動以下變更：

• 安全性是整合式，而非外部核准：應用程式開發的快速變化步調，讓傳統的「掃描和報告」方法變得過時。 這些舊版方法跟不上發行的速度，就會讓開發工作停滯不前，造成上市時間延遲、開發人員使用率不足，以及待辦問題的增長。
  • 左移 (Shift left) 可讓安全性提早加入應用程式開發流程，因為提早修正問題更便宜、更快速，且更有效率。 如果等到蛋糕出爐，就很難改變形狀了。
  • 原生整合：安全性做法必須緊密整合，以避免開發工作流程及持續整合/持續部署 (CI/CD) 流程中的狀況不良。 如需 GitHub 方法的詳細資訊，請參閱共同保護軟體安全。
  • 高品質安全性：安全性必須提供高品質的結果和指導，讓開發人員能夠快速修正問題，而不會因為誤判而浪費開發人員的時間。
  • 融合的文化特性：安全性、開發和營運角色應該將關鍵元素融入到共有的文化特性、共有價值，以及共有的目標和責任。
• 敏捷安全性：將安全性從「必須完美出貨」的方法轉移成敏捷的方法，從應用程式 (以及開發這些應用程式的流程) 的最低可行安全性開始，不斷逐步改善。
• 採用雲端原生基礎結構和安全性功能，以簡化開發流程，同時整合安全性。
• 供應鏈風險管理：針對開放原始碼的軟體 (OSS) 和協力廠商元件，採用零信任方法來驗證其完整性，並確保錯誤修正和更新套用至這些元件。
• 持續學習：開發人員服務 (有時稱為「平台即服務」(PaaS) 服務) 的快速發行步調，以及不斷變化的應用程式組合，表示開發人員、營運人員和安全性團隊成員將不斷學習新技術。
• 針對應用程式安全性使用程式設計方式，以確保持續改進敏捷方法。

如需其他內容，請參閱 Microsoft 安全開發生命週期。

小組構成要素和重要關聯性

應用程式安全性和 DevSecOps 功能最好由安全性感知開發人員和營運團隊 (在安全性主題專家的支援下) 來執行。

此功能通常會與其他功能和專家互動，包括：

• 安全性架構和作業
• 基礎結構安全性
• 通訊 (訓練和工具)
• 人員安全性
• 身分識別和金鑰
• 合規性/風險管理小組
• 關鍵業務領導人或其代表

後續步驟

請檢閱資料安全性的功能。