DevSecOps چیست؟

بررسی اجمالی

DevSecOps مخفف توسعه، امنیت و عملیات است. این رویکردی به فرهنگ، اتوماسیون و طراحی پلت فرم است که امنیت را به عنوان یک مسئولیت مشترک در کل چرخه عمر فناوری اطلاعات یکپارچه می کند.

DevSecOps در مقابل DevOps

DevOps فقط مربوط به تیم های توسعه و عملیات نیست. اگر می خواهید از agility  و پاسخگویی رویکرد DevOps نهایت استفاده را ببرید، امنیت فناوری اطلاعات نیز باید نقش یکپارچه را در چرخه عمر کامل برنامه های شما ایفا کند. چرا؟ در گذشته، نقش امنیت به یک تیم خاص در مرحله نهایی توسعه یه صورت مجزا انجام میشد. زمانی که چرخه‌های توسعه ماه‌ها یا حتی سال‌ها طول می‌کشید، این مسئله چندان مشکل‌ساز نبود، اما آن روزها به پایان رسیده‌اند. DevOps موثر چرخه های توسعه سریع و مکرر را تضمین می کند (گاهی اوقات هفته ها یا روزها)، اما شیوه های امنیتی قدیمی می توانند حتی کارآمدترین طرح های DevOps را خنثی کنند.

اکنون، در چارچوب مشترک DevOps، امنیت یک مسئولیت مشترک است که از انتها به انتها یکپارچه شده است. این یک طرز فکر بسیار مهم است که باعث شد برخی اصطلاح DevSecOps را برای تأکید بر نیاز به ایجاد یک پایه امنیتی در ابتکارات DevOps ایجاد کنند.

DevSecOps یعنی از همان ابتدا به امنیت برنامه و زیرساخت فکر کنید. همچنین به معنای خودکار کردن برخی از گیت های امنیتی برای جلوگیری از کند شدن گردش کار DevOps است. انتخاب ابزار مناسب برای ادغام مداوم امنیت، مانند توافق بر روی یک محیط توسعه یکپارچه (IDE) با ویژگی های امنیتی، می تواند به تحقق این اهداف کمک کند. با این حال، امنیت موثر DevOps به چیزی بیش از ابزارهای جدید نیاز دارد – این امنیت بر اساس تغییرات فرهنگی DevOps است تا کار تیم‌های امنیتی را زودتر ادغام کند.

چه آن را «DevOps» یا «DevSecOps» بنامید، همیشه ایده‌آل بوده است که امنیت را به عنوان بخشی جدایی ناپذیر از کل چرخه زندگی برنامه در نظر بگیرید. DevSecOps در مورد امنیت داخلی است، نه امنیتی که به عنوان محیط اطراف برنامه ها و داده ها عمل می کند. اگر امنیت در انتهای خط لوله توسعه باقی بماند، سازمان‌هایی که DevOps را اتخاذ می‌کنند می‌توانند خود را به چرخه‌های توسعه طولانی که در وهله اول سعی داشتند از آن اجتناب کنند، بازگردند.

تا حدی، DevSecOps نیاز به دعوت از تیم‌ها و شرکای امنیتی را در ابتدای طرح‌های DevOps برای ایجاد امنیت اطلاعات و تنظیم برنامه‌ای برای اتوماسیون امنیتی برجسته می‌کند. این امر بر نیاز به کمک به توسعه‌دهندگان برای کدنویسی با در نظر گرفتن امنیت تاکید می‌کند، فرآیندی که شامل تیم‌های امنیتی به اشتراک‌گذاری قابلیت مشاهده، بازخورد و بینش در مورد تهدیدات شناخته شده – مانند تهدیدات داخلی یا بدافزارهای بالقوه است. DevSecOps همچنین بر شناسایی خطرات زنجیره تامین نرم افزار تمرکز دارد و بر امنیت اجزای نرم افزار منبع باز و وابستگی ها در اوایل چرخه عمر توسعه نرم افزار تاکید دارد. برای موفقیت، یک رویکرد DevSecOps موثر می‌تواند شامل آموزش‌های امنیتی جدید برای توسعه‌دهندگان نیز باشد، زیرا همیشه در توسعه برنامه‌های کاربردی سنتی متمرکز نبوده است. امنیت داخلی واقعاً چگونه است؟ برای شروع، یک استراتژی DevSecOps خوب، تعیین میزان تحمل ریسک و انجام تجزیه و تحلیل ریسک/منفعت است. چه مقدار از کنترل های امنیتی در یک برنامه معین لازم است؟ سرعت بازاریابی برای اپلیکیشن های مختلف چقدر اهمیت دارد؟ خودکارسازی وظایف تکراری کلید DevSecOps است، زیرا اجرای بررسی‌های امنیتی دستی در خط لوله می‌تواند زمان بر باشد.

اما چه چیزی را خودکار کنیم و چگونه؟ راهنمایی مکتوب برای کمک به پاسخ به این سوال وجود دارد. سازمان ها باید به عقب برگردند و کل محیط توسعه و عملیات را در نظر بگیرند. این شامل مخازن کنترل منبع، رجیستری کانتینر، خط لوله یکپارچه سازی و استقرار پیوسته (CI/CD)، مدیریت رابط برنامه نویسی برنامه (API)، هماهنگ سازی و اتوماسیون انتشار، و مدیریت و نظارت عملیاتی است. فن‌آوری‌های جدید اتوماسیون به سازمان‌ها کمک کرده تا شیوه‌های توسعه چابک‌تری را اتخاذ کنند، و همچنین در پیشبرد اقدامات امنیتی جدید نقش داشته‌اند. اما اتوماسیون تنها چیزی نیست که در مورد چشم‌انداز فناوری اطلاعات در سال‌های اخیر تغییر کرده است – فناوری‌های بومی ابری مانند کانتینرها و میکروسرویس‌ها اکنون بخش عمده‌ای از ابتکارات DevOps هستند و امنیت DevOps باید با آنها سازگار شود.

Standardize and automate the environment: 

هر سرویس باید کمترین امتیاز ممکن را برای به حداقل رساندن اتصالات و دسترسی های غیرمجاز داشته باشد.

Centralize user identity and access control capabilities: 

Encrypt data between apps and services:

یک پلت فرم ارکستراسیون کانتینر با ویژگی های امنیتی یکپارچه به به حداقل رساندن احتمال دسترسی غیرمجاز کمک می کند.

Introduce secure API gateways:

APIهای امن مجوز و دید مسیریابی را افزایش می دهند. با کاهش API های در معرض دید، سازمان ها می توانند سطوح حملات را کاهش دهند.

CI/CD process security

Integrate security scanners for containers:

این باید بخشی از فرآیند افزودن کانتینرها به رجیستری باشد

. Automate security testing in the CI process: 

این شامل اجرای ابزارهای تجزیه و تحلیل استاتیک امنیتی به عنوان بخشی از ساخت‌ها، و همچنین اسکن تصاویر کانتینر از پیش ساخته شده برای آسیب‌پذیری‌های امنیتی شناخته‌شده در حین کشیدن آنها به خط لوله ساخت است.

Add automated tests for security capabilities into the acceptance test process:

تست‌های اعتبارسنجی ورودی و همچنین ویژگی‌های تأیید اعتبار و مجوز را به‌طور خودکار انجام دهید.

Automate security updates, such as patches for known vulnerabilities: 

این کار را از طریق خط لوله DevOps انجام دهید. این باید نیاز ادمین ها را برای ورود به سیستم های تولید حذف کند، در حالی که یک گزارش تغییرات مستند و قابل ردیابی ایجاد می کند.

Automate system and service configuration management capabilities:

این اجازه می دهد تا با سیاست های امنیتی مطابقت داشته باشید و خطاهای دستی را حذف کنید. حسابرسی و اصلاح نیز باید خودکار باشد.

منبع : https://www.redhat.com/en/topics/devops/what-is-devsecops#:~:text=DevSecOps%20stands%20for%20development%2C%20security,throughout%20the%20entire%20IT%20lifecycle