Erfahren Sie, wie die Continuous Quality Platform von Parasoft dabei hilft, Testumgebungen zu steuern und zu verwalten, um zuverlässig hochwertige Software zu liefern. Für Demo registrieren >>
In meinem previous post, Ich diskutierte SecDevOps und warum es ein besserer Begriff ist als der allgemein verwendete DevSecOps. Sicherheit wird häufig als Add-On oder Gating-Prozess belassen, bevor ein Produkt freigegeben wird. Es ist jedoch schwierig, Sicherheitsprobleme zu beheben, wenn sich ein Produkt auf halbem Weg befindet. Die Sicherheit nach links zu verschieben, wie in SecDevOps (was der allgemeinere Name DevSecOps nicht impliziert), ist das Schlüssel zum Erfolg. Sicherheit muss Teil des täglichen Workflows jedes Entwicklers sein und in die Software-Pipeline integriert sein.
Als Vice President of Products hier bei Parasoft ist es meine Aufgabe, sicherzustellen, dass wir dies unseren Kunden erleichtern. Was bedeutet das? Zunächst einmal bedeutet dies, die Verlagerung von Sicherheitskontrollen und -richtlinien nach links zu automatisieren, um unseren Kunden dabei zu helfen, Sicherheit in die Pipeline zu integrieren und gleichzeitig die Auswirkungen und das Risiko von DevSecOps zu verringern. Wie machst du das? Lesen Sie weiter unten, um zu erfahren, wie Sie die traditionellen Herausforderungen bei der Integration von Sicherheit in DevOps bewältigen können. Anschließend untersuchen wir den DevSecOps-Workflow, der die Sicherheit erfolgreich nach links verschiebt, wo sie sein sollte.
Die meisten Probleme mit DevSecOps treten heute auf Unternehmen zurück, die versuchen, die Sicherheit durch Hinzufügen von Tests am Ende des Produktzyklus zu beheben, in der Hoffnung, einige der kritischen Schwachstellen zu erkennen. Hier sind einige der Gründe, wie und warum dies geschieht und wie Sie sie mit einem intelligenteren Sicherheitsansatz lösen können.
Die meisten Entwickler und Tester sind (noch!) Keine Sicherheitsexperten. Daher ist es eine große Aufgabe, die Sicherheit in den späten Entwicklungsphasen zu „reparieren“, wenn unklar ist, was zu tun ist.
Lösung: Verbessern Sie die Sicherheit schrittweise
Stattdessen können Teams zentralisierte Richtlinien wie sichere Codierungsstandards und statische Analyseprüfungen auf häufig auftretende Schwachstellen verwenden, um die Sicherheit über den gesamten Entwicklungslebenszyklus hinweg schrittweise zu verbessern. Darüber hinaus können Sicherheitstools Entwicklern und Testern Hinweise geben, warum Sicherheitslücken bestehen, wie sie ausgenutzt und letztendlich entfernt und getestet werden. Mit den statischen Analysetools von Parasoft können Sie auf einfache Weise eine zentralisierte Richtlinie definieren, die auf branchenweit sicheren Codierungsstandards basiert (z. B. CWE, OWASP, CERT, UL 2900). Dokumentation, Beispiele und eingebettete Schulungen sind ebenfalls integriert, damit das gesamte Team weiter lernen kann, was als Nächstes zu tun ist.
Der übliche Ansatz, die Sicherheit des Schuhhorns in ein fast vollständiges Produkt umzuwandeln, ist unzureichend. Zu viele Schwachstellen finden Eingang in den Produktionscode.
Lösung: Integrieren Sie die Sicherheitsanalyse in die frühesten Entwicklungsstadien
Stattdessen kann Sicherheit in die tägliche Entwicklung und den Betrieb einbezogen werden. Entwickler sollten in der Lage sein, Analysen durchzuführen direkt in der IDE, Verlagerung der Sicherheitskonformität auf die sehr frühe Entwicklungsstadien. Parasoft-Tools lassen sich in den Erstellungsprozess integrieren und stellen CI-Plugins bereit, um zu überprüfen, ob Schwachstellen nicht in der CI-Pipeline enthalten sind. Die gesammelten Daten werden pro Build gespeichert und stehen Berichts- und Analyse-Dashboards zur Verfügung.
Ohne jegliche Schwachstellenbewertung weisen Projekte völlig unbekannte Sicherheitsrisiken auf, bis eine Art von Test durchgeführt wird. Wenn Tests im späten Zyklus durchgeführt werden, können festgestellte Sicherheitslücken zu Abwanderung und Nacharbeit im späten Zyklus führen. Trotz dieser heldenhaften Bemühungen in letzter Minute gelangen viele Sicherheitslücken immer noch in die Hände der Kunden.
Lösung: Laufende Überwachung der Softwarequalität und -sicherheit
Um Priorisierung und Kurskorrektur zu ermöglichen, sollte die Echtzeit-Compliance-Berichterstellung leicht zugängliche Dashboards mit einer umfassenden und umfassenden Ansicht der Daten auf höchster Ebene bieten. Parasoft eliminiert den Aufwand für die Sicherheitsüberwachung durch hochgradig anpassbare Sicherheits-Dashboards, die interaktiv sind, von jedem Ort aus zugänglich sind und für jeden Benutzer entworfen werden können, vom Entwickler über das Team bis hin zum Manager der oberen Ebene.
Wenn Sie die oben genannten Herausforderungen verstehen und bereit sind, loszulegen, beginnt die Integration von Testtools in Ihren vorhandenen Entwicklungsworkflow. Dies ist der Schlüssel zur täglichen Akzeptanz und zur Erzielung des größtmöglichen ROI Ihrer Investition. Schauen wir uns an, wie Parasoft-Tools in eine typische CI / CD-Pipeline integriert sind und wie sie genutzt werden können, um die Sicherheit in DevOps nach links zu verschieben.
Hier sehen Sie sowohl Pre-Commit als auch Post-Commit im Workflow mit vorheriger Code-Analyse und nach dem Senden von Code an das Quell-Repository. Unterstützung von Entwicklern bei der Verbesserung von Qualität und Sicherheit Bevor Das Einchecken des Codes ist ein wesentlicher Vorteil der Verschiebung nach links. Unsere Tools beginnen dort und helfen dann weiter, nachdem Code eingecheckt, erstellt und bereitgestellt wurde.
Die meisten Softwareteams wissen, dass unabhängig von der Reife ihres aktuellen Prozesses qualitativ hochwertiger Code bereitgestellt werden muss. Indem Sie diese vorhandene Denkweise zur Verbesserung der Sicherheit nutzen, können Sie Sicherheitsanforderungen, -kontrollen und -standards als Teil Ihres bestehenden Qualitätsverbesserungsprozesses miteinander verflechten. Auf Dashboard-Ebene hilft die Anzeige der Einhaltung von Sicherheitsbestimmungen in Echtzeit mit der Möglichkeit, anhand hervorgehobener Problembereiche in Problembereiche zu graben, dazu, dass Sicherheit Teil des täglichen Qualitätsmanagements wird.
Es ist wichtig, die Sicherheit so früh wie möglich im Entwicklungslebenszyklus zu priorisieren, um sowohl die Durchsetzung von Sicherheitsstandards als auch bewährte Verfahren nach links zu verschieben und DevSecOps erfolgreich zu erreichen. Um dies zu ermöglichen, benötigen Sie einen ansprechbaren und einfach anzuwendenden Prozess, um Schwachstellen zu erkennen und zu entfernen, sobald Code von Entwicklern geschrieben wird. Die anpassbaren Analyse- und Berichts-Dashboards von Parasoft in Echtzeit bieten Teamleitern und Sicherheitsexperten sofortiges Feedback zum Projektstatus, zur Einhaltung ausgewählter Standards und genau dort, wo die höchsten Bedenken bestehen, damit das gesamte Unternehmen die Risiken verstehen kann.
Mark, Vice President of Products bei Parasoft, ist dafür verantwortlich, dass Parasoft-Lösungen den Unternehmen, die sie einsetzen, einen echten Mehrwert bieten. Mark ist seit 2004 bei Parasoft und arbeitet mit einem breiten Querschnitt von Global 2000-Kunden zusammen, von spezifischen Technologieimplementierungen bis hin zu umfassenderen Initiativen zur Verbesserung von SDLC-Prozessen.