然而,交付速度的提高也会遇到不少关键挑战,包括每个构建都需要进行测试、检查漏洞,然后进行修复。在大多数情况下,当 QA 和安全专家完成构建检查时,已经有几个存在漏洞以及安全问题的新构建在排队等待。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html
这一挑战导致了 DevSecOps 管道的开发,因为需要消除应用程序在投入生产之前进行安全和 QA 检查所产生的瓶颈。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html
01文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html
—文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html DevSecOps 的另一个关键方面是它可以培训更好的专业人员,因为安全责任不再由小型安全团队和 QA 部门承担。相反,现在 IT运维专业人员和开发人员不仅直接参与,而且还负责最佳安全实践。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html 这意味着安全团队致力于教育开发人员并充当顾问,而不是成为软件开发过程中的瓶颈。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html DevOps 是一种实践,允许最初孤立的角色(例如开发、运维、质量工程和安全)进行协调和协作,以生成更好、更可靠的应用程序和软件解决方案。相比之下,DevSecOps 指的是 DevOps 协作框架中安全基础的端到端集成。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html
文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html
02文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html
—文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html
自动化是 DevSecOps 开发、源代码控制、规划、代码审查、构建、测试和审计方法的核心。首先,在产品到达消费者手中之前,所有这些阶段都必须有一层自动安全检查。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html 一. Trivy - 容器漏洞扫描文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html 使用云计算时,您必然会使用容器、应用程序映像和 Kubernetes。Trivy 是一个开源项目,旨在简化应用程序镜像扫描,使用可信数据库来验证任何已知漏洞。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html 例如:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html
文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html
二. Gerrit -代码审查文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html Gerrit 是另一个直接在团队工作流程中工作的 DevSecOps 工具,允许对每次合并和提交进行审查或测试是否存在漏洞。Gerrit通过突出显示问题并允许对特定代码部分进行注释和评论,从而帮助团队更好地沟通。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html 社区每天不断更新和创建的一些插件包括:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html
DevSecOps 工具在开发过程的测试阶段旨在将应用程序置于实时工作流程中,测试身份验证、API 端点、SQL 注入和用户相关的应用程序流程。Arachni是一个功能强大的开源项目,可以多次扫描 Web 测试的脚本化审核(使用 Ruby),同时可以轻松集成到 CI/CD 中。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html 应用程序经过整个开发和安全验证过程后,必须在上生产环境前通过最后一系列测试。这些测试旨在检查仅在实时生产环境中才会发生的稳定性、漏洞和错误。本质上, Falco测试不一致的一些点包括:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html 由于此 DevSecOps 工具位于开发的最后一步,因此它具有对策略违规的即时警报和高度可配置的规则引擎,可满足任何团队或应用程序的需求。因此,创作者为交付可立即运行的产品而感到自豪。它具有强大的默认配置,即使很少交互,也将为您提供一个坚实的起点。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html 文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html
03文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html
—文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html
DevSecOps通过在开发周期开始时引入安全性、添加自动检查、查找易受攻击的依赖项并指出错误代码,将安全性提升到一个新的水平。公司可以创建一个安全的环境,在其中实现 DevOps 的快速交付,同时维护安全标准和最佳实践。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html
以前是瓶颈的安全团队现在对开发人员进行教育,使每个开发人员能够在推送代码之前检查自己的代码。完成此检查后,代码仍会由较小的安全团队进行审查,扫描漏洞,并使用安全团队配置的最新安全即代码定义进行测试。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html
这意味着在开发过程中,在多层代码和依赖项被引入到代码中之前,问题就被发现了。因此,修复错误的速度实际上更快,这也意味着流程成本极其低廉。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/arc/52869.html