Prozkoumejte princip shift-left v zabezpečení

Dokončeno

Přístup posunu doleva se doporučuje nejen pokud jde o testování. Stejná myšlenka se vztahuje na sféru zabezpečení. Principy DevSecOps mají vyjádřit význam začlenění zabezpečení do každé fáze DevOps (počínaje plánováním a vývojem) způsobem, který se někdy označuje jako průběžné zabezpečení. Organizace popsaná v našem ukázkovém scénáři dobře ví o dopadech ignorování těchto principů. V této lekci se podíváme na význam přístupu k zabezpečení a doporučeným způsobům jeho implementace.

Co je bezpečnostní strategie posunutá doleva?

Diagram znázorňující části zabezpečení shift-left, včetně vývoje, operací, SDL a OSA

V kontextu zabezpečení se posun doleva překládá na zavedení aktivit zabezpečení co nejdříve v procesech životního cyklu softwaru. Začíná tím, že do návrhu softwaru začleníte zabezpečení pomocí modelování hrozeb, abyste identifikovali potenciální budoucí hrozby, posoudili rizika a definovali strategie zmírnění rizik. Proces pokračuje v celém vývoji softwaru implementací řady aktivit souvisejících se zabezpečením, jako jsou kontroly kódu a automatizované testování zabezpečení. Kontroly kódu by měly zahrnovat posouzení zaměřená na zabezpečení, která cílí na chyby zabezpečení, dodržování standardů kódování a potenciální ohrožení zabezpečení. Automatizované testování zabezpečení zahrnuje úlohy, jako je testování zabezpečení statických aplikací (SAST), dynamické testování zabezpečení aplikací (DAST) a analýza složení softwaru (SCA), které jsou integrované do kanálů kontinuální integrace a průběžného nasazování (CI/CD).

Průběžné monitorování, které je součástí průběžného zabezpečení, je dalším prvkem vhodným pro přístup doleva. Její implementace zahrnuje použití mechanismů protokolování, monitorování a reakce na incidenty od začátku vývoje.