Начало в статье.

Помимо тестирования безопасности приложений (AST), есть много вещей, которые должны измениться в организации, которая использует DevOps. Помните, DevOps — это культурное изменение, которое выходит за рамки просто добавив AST в вашу среду DevOps. Имея это в виду, давайте обсудить несколько других тем, которые должны быть рассмотрены.

Обратите внимание на Open Source уязвимости в DevOps

Использование компонентов с открытым исходным кодом при разработке программного обеспечения резко изменили индустрию программного обеспечения. Вместо того, что бы создавать все программного обеспечения с нуля, организации используют открытые
исходные компоненты для обеспечения общих или повторяющихся функций и функциональных возможностей. Это ограничивает использование пользовательского кода для проприетарной лицензии. Программное обеспечение с открытым исходным кодом все еще является программным обеспечением с подверженными ошибкам кодирования, которые могут привести к уязвимостям безопасности.
Устранение уязвимостей в компонентах с открытым исходным кодом, является критическим и должно стать частью процесса DevOps.

Проблема сложности кода в DevOps

Еще один важный фактор, способствующий появлению уязвимости, это сложность кода. В организации с очень большим программным приложением обычно не работает один человек, который понимает всю кодовую базу, и что может способствовать
распространение вопросов безопасности по всей базе кода.

Сегодня очень редко создаются приложения с нуля. Обычно они представляют собой ветку или копию существующего кода. Очень редко у разработчики используют только свой код для сложного программного обеспечения, которое они разрабатывают. Концепция сложности кода также должна рассматриваться в рамках DevOps, так как сложность может способствовать повторяющимся уязвимостям появится в продуктиве.

Решение проблем с программным обеспечением пока не влияет на скорость

Программный риск возникает из-за ошибок, допущенных в дизайне, кодировании, тестировании и сопровождении программного обеспечения. Использование эти уязвимостей могут сделать программное обеспечение ненадежным для пользователей или позволит злоумышленникам выполнять неавторизованный код, читать или изменять данные, изменять привилегии пользователей, скрывать действия или обходить
контроль безопасности.
В традиционном подходе безопасности приложений и тестирования приложений, на безопасность выделяется минимум времени и часто пропускают уязвимости, попадая на рынок такое ПО может привести к денежным потерям.
Потребность в быстром, инкрементном, статическом, тестировании во время выполнения и ПО с открытым исходным кодом имеет решающее значение для устранение рисков программного обеспечения в DevOps.