什么是DevSecOps?

试试JFrog DevSecOps工具

DevSecOps定义

DevSecOps的原则和实践与传统DevOps的原则和实践相似,它们具有集成和多学科团队,共同努力实现安全持续的软件交付.DevSecOps开发生命周期是一个重复的过程,从开发人员编写代码、触发构建、将软件包部署到生产环境并监控运行时识别的问题开始,但在每个阶段都包括安全性。

DevSecOps最佳实践应该确保安全性是软件开发生命周期中不可分割的一部分。随着新功能的开发和bug的修复,这个过程不断重复。为了更快地开发和发布,开发人员依赖开源软件来完成他们的项目。典型的现代应用程序由高达90%的开源软件组成。这有可能在组织中引入以下内容:

  • 安全漏洞
  • 许可证遵从性问题

依靠开发人员报告和手工流程只能提供部分情况。因此,安全性和遵从性是DevSecOps流程的重要组成部分。

开发人员与操作和安全工程师的比例

开发人员与运维和安全工程师的比例

目前开发人员、操作人员和安全人员的比例是200:5:1。这意味着任何安全问题识别的安全漏洞扫描工具需要由一个甚至可能缺乏技术知识的非常小的安全团队进行审查。这种挑战可以通过向左转移到开发人员和运维团队来减少,使他们也负责安全性和遵从性,并在SDLC过程的早期转移安全性。

在CI/CD管道中更早地实现安全问题的识别,以及在软件开发生命周期(SDLC)中自动化安全性和遵从性策略,而不是使用手动过程,这是至关重要的。此外,将Sec排除在DevOps之外的组织可能会面临更接近发布的安全和合规问题,从而导致补救此类问题的额外成本。

开始使用JFrog x射线免费的并扫描安全漏洞

免费开始

DevSecOps文化

在DevSecOps文化中,每个人都承担起安全的责任和所有权。与DevOps的最佳实践相结合,每个开发团队都应该指派一名安全卫士来领导团队中的安全和合规流程和行动,以最大限度地提高所交付软件的安全性。

DevOps的本质是尽可能地实现自动化,以防止人为错误,并创建自动化闸门,以防止不稳定的代码进入生产环境。本质上,带有安全漏洞的代码不合规许可是不稳定的。

DevSecOps原则

在组织中引入和实施DevSecOps需要文化和操作上的改变。包括:安全培训、工具和资源。2022世界杯阿根廷预选赛赛程当你在组织文化中进行转变时,这里有一些有用的概念。

  • 安全冠军

    这些团队成员负责整体的安全方面,确保它们在DevOps管道,并将他们暴露给团队的其他成员。例如,一个开发团队的安全冠军将领导团队实现和使用:

    • 静态应用程序安全测试(SAST),用于发现源代码中的安全缺陷
    • 软件组合分析(SCA),用于开放源码依赖关系的可见性。

    QA团队安全负责人将实现:

    • 动态应用程序安全测试(DAST)作为自动化QA周期的一部分。

  • 安全是这个过程的一个组成部分

    DevSecOps实践要求将安全性作为SLDC的一部分,而不是仅仅在软件发布到生产环境之前。这意味着开发人员将安全扫描集成到构建过程中,以及他们的IDE环境中,以识别易受攻击的依赖项。

  • 容易获取的数据

    开发人员与安全专业人员的比例为200:1。使用专用IDE插件,可以将安全数据直接带入开发人员已经在使用的工具中,使其易于采用。为开发人员介绍如何在编写代码时避免安全问题的最佳实践。

JFrog Xray通过提供关于代码中使用的依赖关系的安全漏洞信息,将安全放在开发人员的指尖。

了解更多>

  • 自动化管理

    除了手工检查(比如代码检查),安全检查点还可以分布在DevOps管道的每个阶段,以确定您的软件是否可以继续到下一个阶段。治理系统可以自动执行公司政策,并能够在不受干预的情况下采取相应的行动:

    • 安全或违反法规的通知(电子邮件、Slack、即时消息、Jira等)
    • 屏蔽下载
    • 依赖于易受攻击组件或未能遵守许可策略的构建失败
    • 防止易受攻击的发布包的部署

JFrog Xray可以与任何CI服务器集成,如果在任何构建构件或依赖项中发现安全漏洞或开源许可证违反,则构建失败。

了解更多>

DevSecOps可以自动加入到你的管道中,创建一个抽象的安全覆盖层。

了解更多>

DevSecOps工具

有几个安全性和合规性工具系列可以解决SDLC的不同方面。这包括:静态代码分析(SAST),软件组合分析(SCA),以及用于测试代码漏洞的不同方法(DAST和IAST)。此外,还有一些工具旨在监视和保护生产环境中的二进制文件,防止利用您的代码或环境漏洞的攻击。理想情况下,团队应该致力于采用所有这些领域来实现完整的SDLC安全性。

DevSecOps插图

说明DevSecOps

静态应用安全测试(SAST)工具可以帮助您识别自己开发的专有代码中的漏洞。开发人员应该了解并使用SAST工具,将其作为开发过程的自动化部分。这将有助于在DevOps周期的早期检测和修复潜在的漏洞。

软件组合分析(SCA)包括管理和监视代码所依赖的开源组件中的许可证遵从性和安全漏洞。了解正在使用的OSS组件以及它们的依赖关系是首要关注的问题。在确定了开源组件之后,SCA工具例如JFrog Xray,将提供有关许可证的信息,以及是否存在与这些组件相关的任何已知安全漏洞。高级SCA工具提供策略执行功能,防止二进制文件的下载、失败的构建以及通知其他系统。

动态和交互式应用程序安全测试(DAST和IAST)工具测试正在运行的应用程序的公开接口,查找漏洞和缺陷。DAST将应用程序视为一个黑盒,而IAST使用结合了动态应用程序安全测试(DAST)和静态分析安全测试(SAST)技术的仪器来提高应用程序安全测试的准确性。

容器运行时安全性工具监视运行时环境中的容器。这些工具提供不同的功能,包括不同级别的防火墙,基于行为分析识别异常等。

DevSecOps的最佳实践

  • 培训开发团队开发安全代码
  • 跟踪安全问题和软件问题
  • 安全即代码,内置安全
  • 在软件开发管道中集成安全控制
  • 在构建过程中自动化安全测试
  • 在整个管道中检测已知的漏洞
  • 监控生产中的安全性
  • 注入失败,确保安全加固
    来源:网络安全的神圣与罪恶本质——约翰·威利斯@botchagalupe
    《DevOps手册》,Gene Kim, Patrick Debois, John Willis, Jez Humble

常见问题解答

什么是软件组成分析?

软件组合分析(SCA)的需求源于开源软件组件的日益使用,开发人员使用这些组件来跟上创新的步伐。公司正在努力管理和跟踪跨团队和站点的开源使用情况,需要一种更加自动化的方式。

开源软件通常占应用程序代码的90%。确保这部分代码的管理和安全是至关重要的。

太多的公司忽视了开源组件的风险,而只关注他们编写的代码。这可能导致臭名昭著的安全和许可证漏洞,给Equifax和Capital One等公司造成数百万美元的损失。SCA解决方案可以解决这个问题!

SCA包括管理和监视开放源码组件中的许可证遵从性和安全漏洞。了解正在使用的OSS组件和它们的依赖关系是一个主要的关注点。在确定了组织中的OSS组件后,SCA工具提供了对每个组件的可见性,包括关于许可证的信息、版本号以及是否存在与之相关的任何已知安全漏洞。

使用开源组件的风险是什么?

现代应用程序现在由高达90%的OSS组件组成。这意味着我们每天构建、部署和使用的大部分软件比以往任何时候都更有可能包含漏洞。因为它是开放的,黑客可以很容易地访问代码并查找漏洞。开源软件不仅会通过漏洞带来风险,还会为组织带来复杂的许可遵从性问题。一个潜在的复杂情况可能是,许可证说“如果您使用这个组件,您需要使您的代码开源”。

理想情况下,您希望在开发过程中尽早扫描并识别所有OSS组件上的许可遵从性和漏洞问题。了解您在整个应用程序组合中拥有哪些组件并跟踪它们是绝对必须的,并且最终应该实现自动化。这应该是你的CI/CD管道的一个组成部分,以保持你的开发和发布速度在正轨上。

从历史上看,在SDLC和生产环境之间进行安全保护需要运行代理来执行组件扫描。如今,有不同的解决方案可以实现更高级别的安全性和合规性监控,它们直接集成到IDE、存储库管理器、CI/CD管道中,甚至可以扫描容器映像。对于开放源码安全性和遵从性监视,使用本机集成的SCA解决方案效果最好。

SCA工具提供了什么?

高级SCA工具提供策略强制功能,支持对开源组件进行自动监视。这些都是可配置的,可以根据所扫描内容的上下文,对已识别的安全性或合规性违规启用不同的行为。例如,基于漏洞构建高度敏感的应用程序会失败,而使用相同的易受攻击组件构建测试应用程序则不会失败。SCA工具将代码中的每个开放源码组件与策略进行比较,并根据结果触发不同类型的自动化操作。

SCA工具使用一个包含已知漏洞和许可的参考数据库来比较应用程序所使用的OSS依赖关系。数据库越全面,在生产代码中出现任何已知漏洞或许可问题的风险就越低。

在选择SCA工具时,需要考虑哪些关键因素?

在查看软件组合分析工具时,考虑以下因素是很重要的:
1.技术支持:它的通用性如何?它是否支持您组织使用的所有编码语言和包类型?
2.生态系统集成:SCA工具必须与存储库、ide、包管理器、CI服务器等集成……通过开箱即用的集成和丰富的开放api。
3.数据库:全面的许可证和漏洞数据库是为您提供最佳覆盖的必要条件。

SCA工具与其他应用程序安全工具有何不同?

一个完整的安全堆栈应该包括以下工具:
动态应用安全测试(DAST)
-交互式应用程序安全测试(IAST)
-软件组合分析(SCA)
-静态应用安全测试(SAST)

JFrog Xray是一个SCA工具,专注于从您编写应用程序代码所依赖的OSS组件和依赖项中检测和消除开源安全漏洞和许可证遵从性问题。由于代码库由高达90%的OSS组成,这意味着Xray可以对确保产品发布的稳定性和安全性产生巨大影响。

采用这种方法的组织在整个SDLC中都看到了改进,包括:通过早期识别问题来提高质量,在专有代码和开源代码之间的可见性,通过在开发过程早期检测和修复漏洞来降低补救成本,最小化安全漏洞的风险,以及优化安全测试

依赖免费CVE/NVD数据库的风险是什么?

您可以拥有有史以来最好的SCA工具集成,但是安全扫描解决方案的好坏取决于驱动该解决方案的漏洞数据库。使用一个没有最新漏洞的数据库就像试图在人群中找到一个不知道他们长什么样的人一样。一些公司将在国家漏洞数据库(NVD)中使用MITRE的通用漏洞枚举(CVE)作为安全防范的黄金标准。许多安全专家坚持认为,仅依靠CVE和NVD获取漏洞数据是不够的。

例如,基于风险的安全公司以拥有最及时和最全面的漏洞情报服务之一而闻名——VulnDB,每年都超过了CVE和NVD识别和编录的漏洞总数。超过249,155个漏洞,涵盖27,676个厂商的产品,包括数万个CVE/NVhth华体会最新官方网站D中没有的漏洞,使VulnDB成为市场上最全面的解决方案。超过2000个第三方库已被识别并监控漏洞。

JFrog Xray得益于与VulnDB的紧密集成,它是漏洞和许可证遵从性情报的主要来源。

使用外部安全数据库(如VulnDB)的好处是什么?

首先,业内许多安全专家坚持认为,仅依靠CVE和NVD数据库获取漏洞数据已经不够了。在CVE/NVD数据库中发布一个漏洞可能需要很长时间,与此同时,不良行为者可以分析这些漏洞,并找出如何利用它们进行邪恶活动。

SCA解决方案越早发现数据库中的漏洞,就能越早保护生产代码不受该漏洞的影响。检查许可证类型和版本也是如此。您的合规或法律部门将有一套关于使用开源软件许可证的指导方针。拥有一个可供检查的最新许可证数据库,使您能够最大限度地降低在生产代码中出现非预期的许可证类型的风险,这种风险处理起来既昂贵又复杂。

为什么需要检查许可证遵从性?

确保在OSS依赖项中遵循许可是合规经理、法律团队和ceo们日益关注的问题。没有人愿意成为失败的审计、昂贵的知识产权或许可证侵权案件的受害者。了解什么OSS正在被使用,由哪些开发人员使用,以及在哪些版本和版本中使用是非常重要的。

我们都痛苦地意识到安全漏洞的代价。你只需要回想一下最近的太阳风泄密事件,或者更早地回想一下臭名昭著的Equifax惨败,这让他们损失了数十亿美元。不遵守软件许可证的风险很大,可能会让您陷入复杂而昂贵的知识产权之争。有可能某些许可证的条款意味着,如果您使用他们的代码,您必须使您的整个应用程序代码开源!我不知道有多少首席执行官热衷于免费赠送他们的皇冠上的宝石。对于一些公司来说,由于软件的性质,你可能会受到软件审计的影响;审计失败可能会被处以高额罚款,这取决于你所在的行业。

扫描你的图片

现在试试JFrog DevSecOps工具吧!
运行一个免费的安全扫描您的图像!

现在扫描!