Добавление интеграции SDLC и уровня оркестровки в AST решения, помогает объединить решения в интегрированную и простую в использовании платформу, разработанную для обеспечения организации целостным поиска уязвимостей программного обеспечения, призванную масштабировать и упростить автоматизацию AST. В результате это позволяет организации легко отслеживать, управлять и устранять риски безопасности. Этот слой крайне необходим для упрощения и централизованного управляемый потоком автоматизации, от сканирования до создания тикета. При поиске решений AST, убедитесь, что они имеют интеграцию с SDLC и слой оркестрации.
Где встраивать решения AST в DevOps
Ниже на странице показан тот же рисунок, что и на рисунке. но с некоторыми различиями, добавлены различные решения AST.
Эта картинка должна помочь организациям понять, где можно внедрить различные AST решения в этапы DevOps.
Как видно на рисунке, решения AST должны быть встроены в этапы Dev, в то время как результат в Ops. Правильные решения AST для каждой стадии Dev выделены тонкими зелеными линиями вокруг различных этапов. Точки ниже выделяют точную стадию (или стадии) где решения AST лучше всего подходят и для Dev:
- + SAST работает по всему CODE, CHECK-IN, BUILD, и этапам TEST / QA
- + IAST работает на этапе TEST / QA
- + SCA работает на этапах BUILD и TEST / QA
- + DAST работает на этапе TEST / QA, но имеет ограничения, как упоминалось ранее.
На рисунке управляемые сервисы, AppSec позволяют организациям передать AST на аутсорс третьей стороне, которая поможет внедрить процессы безопасности приложений, методы безопасного кодирования, тестирование безопасности и устранение уязвимостей. Такие услуги помогут организациям, у которых нехватка внутренних ресурсов и опыта на начальных этапах внедрения безопасности в среду DevOps.
Кроме того, на рисунке был добавлен новый термин (SCE), который не был рассмотрен ранее. SCE расшифровывается как Secure Coding Education и работает на этапах CODE DevOps. Далее рассмотрим SCE более детально.
Secure Coding Education
Ранее мы опровергли концепцию сдвига в отношении AST решения в DevOps. Однако сдвиг влево имеет смысл, для Secure Coding Education (SCE). Чем раньше вы обнаружите уязвимости программного обеспечения, тем проще и дешевле их устранить. Однако реальность такова, что значительный процент разработчиков не уверены в безопасности своих приложений, или мало что знают об уязвимостях и о том, как
они созданы.
Причина этому в том, что навыки разработчика измеряются скоростью и количеством функциональных ошибок в их коде, а не количеством
уязвимости безопасности, которые они создают. Чтобы преодолеть это, организации должны понимаю, что им нужно предоставить своим разработчикам SCE и включить в их IDE как можно раньше. Проблема с традиционными методами обучения, такими как видеоуроки,
периодическое обучение в классе и обязательные онлайн-курсы часто не дают результата для достижения безопасных методов кодирования, так как они являются теоретическими, а не практическими. Вся идея SCE заключается в повышении зрелости разработчиков в безопасности, что позволяет им принимать активное участие в разработка более безопасного кода. Разработчики, должны понимать, что безопасность
их программного обеспечения, уменьшит повторяющиеся ошибки кодирования, и значительно уменьшить количество уязвимостей в программном обеспечении, которые необходимо устранить. Когда с помощью AST обнаружена уязвимость, разработчики должны иметь возможность выделить уязвимость, перейдите к обучающему уроку специально об этом типе уязвимости, и узнать, как исправить уязвимость, и все время совершенствовать свои IDE.
Поскольку DevSecOps означает больше, чем просто использование решений AST в процессах DevOps, давайте рассмотрим несколько более важных областей — автоматизации в DevOps в следующей статье.