DevSecOps направлен на выпуск защищенных приложений, включая обеспечение безопасности на всех стадиях разработки и выпуска программного обеспечения.
DevSecOps-конвейер кратко рассмотрим ниже, но сначала о ключевых моментах:
1. Проверки на безопасность нужно автоматизировать.
2. Чем раньше проблема безопасности будет найдена, тем меньше усилий на устранение последствий. Стоимость исправления ошибки растет кратно, а после деплоя в прод - это может стоить катастрофически больших усилий.
Поэтому проблемы с безопасностью нужно обнаруживать на этапе разработки как можно раньше и сразу исправлять, желательно еще до сборки.
DevSecOps-конвейер состоит из стадий:
1. Pre-commit - код проверяется до отправки в систему контроля версий. Обнаруживаются незашифрованные конфиденциальные данные. Инструменты: Gitleaks, git‑secrets, Whispers.
2. Pre-build - код проверяется уже в системе контроля версий статическим анализатором на предмет наличия известных уязвимостей. Инструменты: Gitleaks, git‑secrets, SonarQube, PT Application Inspector, Trivy, Profiscope.
3. Post-build - проверяется собранный артефакт, окружение и зависимости приложения, выявляются устаревшие версии пакетов и библиотек. Инструменты: GitLab Container Scanning, Grype, Harbor.
4. Test-time - проверка запущенного из артефакта приложения. Здесь имитируются действия взломщиков. Инструменты: GitLab DAST, Acunetix, Synopsys Seeker.
5. Post-deploy - проверка после развертывания в продакшн в реальном времени. Используются открытые реестры уязвимостей, при нахождении проблемы отправляется уведомление. Инструменты: WAF, Sqreen, Snyk Container.
Есть задачи DevOps? — Обращайтесь!
Не забудьте подписаться на наш канал.