共计 2141 个字符,预计需要花费 6 分钟才能阅读完成。
抉择正确 DevSecOps 解决方案的七个技巧
引言
随着越来越多的公司意识到将安全性集成到其 DevOps 流水线的重要性,对 DevSecOps 产品的需要始终在强劲增长。然而,投入 DevSecOps 市场寻求抉择的 IT 和 DevOps 业余人员很快意识到,DevSecOps 工具和框架的数量泛滥且令人困惑。抉择过多,往往使他们陷入决策疲劳和剖析瘫痪的地步,因为他们试图理解抉择哪种平安解决方案以及如何将其集成到他们的软件开发流水线中。
然而,为什么首先将 DevSecOps 成为如此关注的焦点呢?为了跟上翻新的步调,开发人员已成倍地减少了对开源软件(OSS)的应用,使其现已广泛应用于利用程序开发交付过程中。随着越来越多的源代码来自“内部”,现在,收集和了解其内容的需要变得至关重要。
在这篇文章中,咱们将钻研在加重 OSS 中可能蕴含的破绽方面最胜利的工具和技术类型。而后,咱们将分享一些技巧,这些技巧将帮忙您从市场上怀才不遇,并在评估市场上的许多不同选项时做出更好,更理智的决策,尤其是在软件组成剖析(SCA)畛域。
开发 的事实& 现状
现在,典型的应用程序应用多达 90%的 OSS 组件,这些组件取自公开可用的开源库。这种趋势使得应用程序中存在的破绽数量一直减少,进而导致破绽攻打和毁坏。公司通过载 DevOps 流水线中增加更多安全检查集成来做出反馈。
然而,平安业余人员和开发人员真正须要哪种类型的工具来确保其生产软件的安全性和稳定性?偏心地说,有多种宽泛的 DevOps 平安工具能够解决软件开发生命周期(SDLC)的不同畛域:
- 代码剖析(动态和动静)
- 软件组成剖析(针对第三方 OSS)
- 运行时安全性剖析(包含容器)
现实状况下,团队应该致力于采纳所有这些畛域的工具,以实现残缺的 SDLC 安全性,然而对于本博客,咱们将专一于软件组成剖析,该软件的指标是缓解 OSS 开源组件和二进制文件中的破绽和违反许可证合规性。
DevSecOps 的七个必备条件
抉择 DevSecOps 工具时,须要确保以下 7 点:
1、能够本地治理和了解所有制品的工具
在团队在没有实现确定哪个 OSS 组件具备破绽的工作之前,他们首先须要一个通用的 DevOps 平台,该平台能够作为一个根本要求,在集中地位治理所有组件和二进制制品文件,而不管其技术栈类型如何。DevOps 平台须要晓得我的项目应用了哪些组件以及它们之间的依赖关系,还有我的项目创立了哪些制品文件。
2、应用最好的燃料
最无效的解决方案将须要像 VulnDB 这样的世界一流的破绽情报源的力量,以确保它具备最新的破绽知识库。世界上最好的汽车如果他们没有最好的燃料来推动他们什么也不是
3、保持可见性和影响剖析
DevSecOps 的“赢家”不仅可能理解您的二进制文件应用了哪些 OSS 库和组件,而且还能理解如何解压和扫描它们并查看所有底层和依赖项,甚至包含打包在 Docker 映像和 zip 文件中的那些底层和依赖项。可能理解组织中制品文件和依赖关系构造的解决方案能够为企业提供软件交付可见性,并在交付过程中的任何中央发现其破绽或许可证违规的影响范畴。
4、须要反对容器和云原生框架
解决方案应反对基于容器的公布框架,容器框架已迅速成为云原生部署的事实上的规范。对容器技术的深刻,递归的了解以及深刻探索每一层 layer 的能力将确保破绽不会被覆盖。可怜的是,某些扫描工具不反对容器,或者对它们的所有不同层和可传递依赖项理解有余。
5、自动化治理
与公司安全部自动化合作治理的能力是 DevSecOps 的重要筹码。治理零碎必须可能主动执行公司策略,并在不进行干涉的状况下采取相应的措施。次要性能应包含:
- 通过不同的渠道(例如电子邮件,即时消息或需要管理系统如 Jira)来告诉违反安全性或合规性问题。
- 主动阻止蕴含问题(破绽或许可证违规)制品的下载
- 使依赖软弱组件(蕴含高危破绽)的构建失败
- 避免部署易受攻击的交付件
6、遍布整个流水线
DevSecOps 中的差异化点是如何将制品的具体数据与横跨制品仓库,构建,部署,运行等阶段的平安扫描联合起来。即便在生产部署之后(运行时),一个能够笼罩整个 SDLC 并继续检测和监督破绽和合规性违规的平台将怀才不遇。
7、混合能源
即便您尚未保护混合型的基础架构。当初抉择反对您的继续云计算旅程和基础架构混合的工具和解决方案,将确保您无论在何处的 DevSecOps 流水线中都具备一致性和规范。
总结
DevSecOps 将不再停留在 CIO 的宿愿单。当初它是必须执行的 IT 策略,它必须成为任何组织 SDLC 不可或缺的一部分。即便组织抉择了适合的 DevSecOps 解决方案,领导者也须要确保他们在各个团队之间施行欠缺的 DevSecOps 流程。这包含须要持续就应用程序平安最佳实际对开发人员和 DevOps 从业人员进行培训。开发人员安和全业余人员比例通常是 250:1,因而在开发团队之间分享平安常识是补救平安缺失的根底。
抉择一个能够治理存储库,二进制文件,CI / CD 自动化和 OSS 组件剖析并反对容器化公布框架的 DevSecOps 平台仿佛是一项艰巨的工作。此外,反对本地,云,多云和混合部署是一个额定的挑战。然而,解决方案需要清单是一个很好的终点。咱们心愿这七个技巧将为您向供应商提出正确的问题,打消市场乐音以及做出理智的决定奠定松软的根底。