Der ASTQ-Gipfel ist am 4. November live! Hören Sie, wie Branchenführer berichten, wie sie kontinuierliche Qualität liefern. Jetzt registrieren "

X
BLOG

Iron Bank Ihre DevSecOps für kontinuierliche Softwaresicherung

Iron Bank Ihre DevSecOps für kontinuierliche Softwaresicherung Lesezeit: 3 Minuten

DevSecOps hat als De-facto-Prozess zur Formalisierung und Integration von Sicherheitstests als Teil des Continuous Integration- und Continuous Deployment/Delivery (CI/CD)-Prozesses erheblich an Bedeutung gewonnen. Durch die Integration von Sicherheit in einen CI/CD-Prozess können Unternehmen Sicherheitstests automatisieren, die bei jedem Entwickler-Commit ausgelöst werden, um Verzögerungen als Gated-Prozess zu vermeiden oder am Ende weiterzuführen.

CI/CD ist der Herzschlag in der modernen Softwareentwicklung und Unternehmen erkennen die Notwendigkeit, eine CI/CD-Pipeline zu instanziieren, um ihren Softwarebereitstellungsprozess zu automatisieren und zu rationalisieren.

DoD Modernisierung der Softwareentwicklung

Das Verteidigungsministerium (DoD) erkennt den Wandel in der modernen Softwareentwicklung und durchläuft eine digitale Transformation, um die Einsatzagilität bei der Unterstützung von Kriegskämpfern und Feldoperationen zu erhöhen. Die Bereitstellung von Softwarefunktionen alle drei bis zehn Jahre macht es unmöglich, mit dem Tempo der Technologie Schritt zu halten. Aus diesem Grund hat das DoD eine Enterprise DevSecOps-Initiative gestartet, um seinen Ansatz zur Softwarebereitstellung zu modernisieren und zu transformieren.

Start der Enterprise DevSecOps-Initiative

Diese Initiative besteht aus mehreren Komponenten, die entwickelt wurden, um die Softwaresicherheit zu verbessern, die Infrastrukturkapazitäten zu verbessern, IT-Prozesse zu rationalisieren und Compliance-Prozesse zu modernisieren, um eine DoD-weite kontinuierliche Betriebsautorität zu ermöglichen.

Als Teil der Enterprise DevSecOps-Initiative des DoD wurde ein zentrales Repository autorisierter, gehärteter und akkreditierter Container mit erstklassigen Softwareentwicklungstools und -funktionen erstellt. Dieses zentrale Repository, bekannt als Iron Bank, wurde entwickelt, um die Messlatte beim Einsatz von DevSecOps-Lösungen über DoD-Softwareprogramme hinweg zu senken.

Angesichts der jüngsten und zunehmenden Bedrohungen, CI/CD-Toolchains und DevSecOps-Pipelines zu gefährden, wie sie beim SolarWinds-Verstoß beobachtet wurden, versucht das DoD, Iron Bank zu nutzen, um die Einführung von DevSecOps zu beschleunigen, um den Softwarebereitstellungsprozess für alle DoD-Softwareprogramme zu sichern.

Das Iron Bank-Repository wird sowohl kostenlose und Open-Source- (FOSS) als auch kommerzielle Standardsoftware-Entwicklungstools (COTS) hosten. Container in Iron Bank werden auf der Grundlage des Container-Hardening-Leitfadens der Agentur gehärtet, um eine DoD-weite Gegenseitigkeit über alle Klassifikationen hinweg zu ermöglichen.

Parasoft SAST in Iron Bank

DoD-Softwareprogramme können ihre CI/CD-Pipeline und Toolchains mit Parasoft C / C ++ test, das vollständigste Statische Anwendungssicherheitstests (SAST) Lösung für C und C++, die umfassende Analysetechniken (musterbasierte Analyse, Datenflussanalyse und abstrakte Interpretation), um kritische Schwachstellen aufzudecken, die oft zu Cyberangriffen führen.

Es wird derzeit gehostet auf GitHub von Iron Bank als Dockerfile und soll als Basis-Image für C/C++-Compiler-Toolchains verwendet werden. Sowohl die Standard- als auch die Professional-Version sind verfügbar, um DoD-Softwareprogrammen dabei zu helfen, SAST- und Unit-Test-Funktionen als Teil ihrer Softwaretests zu formalisieren. Parasoft erkennt an, dass die Fähigkeit zur Entwicklung, Bereitstellung und kontinuierlichen Verbesserung von Software für die Landesverteidigung von wesentlicher Bedeutung ist.

Screenshot des Parasoft C/C++test Professional Iron Bank-Repositorys.
Parasoft Iron Bank-Repository

Parasoft C/C++ Test ist ideal für Embedded-Software-Entwicklung und kann dabei helfen, Sicherheits- und Qualitäts-Compliance-Standards durchzusetzen und zu validieren, wie z Gemeinsame Schwächenzählung (CWE), CERT Sichere Codierungsstandards, MISRA . AUTOSAR um nur einige zu nennen, sowie die Compliance-Validierung für DISA STIG . OWASP.

Ein wachsender Embedded-Markt

Jüngste Studien deuten darauf hin, dass der Markt für eingebettete Systeme für militärische (nationale Verteidigungs-)Systeme voraussichtlich von 1.4 Milliarden im Jahr 2020 auf 2.1 Milliarden bis 2025 bei einer CAGR von 8.3 % von 2020 bis 2025 anwachsen wird.

Parasoft erkennt diese wachsende Nachfrage und hat sich verpflichtet, erhebliche Ressourcen zu investieren, um sicherzustellen, dass unsere C/CC++test-SAST-Lösung containerisiert werden kann, um DoD-Härtungs- und Sicherheitsstandards zu erfüllen. Dies bietet Parasoft eine einzigartige Gelegenheit, mit DoD-Softwareprogrammen zusammenzuarbeiten, um ihre Missionsziele der digitalen Transformation und der Modernisierung der Softwareentwicklungspraktiken zu erreichen, um garantierte Softwaresicherheit schnell bereitzustellen.

Iron Bank Ihre DevSecOps

Die Containerisierung der Parasoft SAST-Lösung bietet DoD-Softwareprogrammen die folgenden Vorteile.

  • Automatisiert Sicherheitstests in der CI/CD-Pipeline für Codeänderungen, die von Entwicklern eingereicht werden, um mit dem Takt der Softwarebereitstellung Schritt zu halten.
  • Bietet die Möglichkeit, Sicherheit und Compliance in DevOps-Tools und -Workflows zu integrieren, um Sicherheits- und Compliance-Standards durchzusetzen, um Entscheidungen im Risikomanagement zu unterstützen.
  • Hilft bei der Verbesserung der Zusammenarbeit zwischen Entwicklern und Sicherheitsteams durch Analyse des Behebungsworkflows, detaillierte Berichte zu Ergebnissen, Details zur Codeabdeckung und Berichtsanalysen, um zu bestimmen, was am wichtigsten ist.
  • Unterstützt Continuous Authority to Operate (cATO)-Aktivitäten durch Bereitstellung von Echtzeit-Einblicken in Risiken und Metriken, die durch Sicherheitstests identifiziert wurden. Dies kann verwendet werden, um die Reziprozität zwischen DoD-Softwareprogrammen auszuweiten, um cATO-Aktivitäten zu beschleunigen und zu informieren.
  • Bietet detailliertes Analyse-Feedback, das in den Arbeitsablauf der Entwickler integriert wird und Entwickler bei der Behebung von Schwachstellen und der Verbesserung der Codierungspraktiken anleitet.

Diese Vorteile sind entscheidend, um DoD dabei zu helfen, seine Missionsanforderungen zu erfüllen und die grenzenlosen Möglichkeiten der modernen Softwareentwicklung zu realisieren. Die frühzeitige Formalisierung von Softwaresicherheitstests mit einer Shift-Left-Denkweise ist für kritische Systeme nicht verhandelbar und muss auf den Prinzipien der kontinuierlichen Softwaresicherung aufbauen. Tun Sie es früh und tun Sie es oft.

Geschrieben von

Kevin E. Greene

Kevin, Director of Security Solutions bei Parasoft, verfügt über umfangreiche Erfahrung und Fachkenntnisse in den Bereichen Software-Sicherheit, Cyber-Forschung und -Entwicklung sowie DevOps. Er nutzt sein Wissen, um sinnvolle Lösungen und Technologien zur Verbesserung der Software-Sicherheitspraktiken zu entwickeln.

Erhalten Sie die neuesten Nachrichten und Ressourcen zum Testen von Software sofort.