選擇正確DevSecOps解決方案的七個技巧

JFrog傑蛙科技發表於2021-03-05
dev

引言

隨著越來越多的公司意識到將安全性整合到其DevOps 流水線 的重要性,對DevSecOps產品的需求一直在強勁增長。但是,投入DevSecOps市場尋求選擇的IT和DevOps專業人員很快意識到,DevSecOps工具和框架的數量眾多且令人困惑。選擇過多,往往使他們陷入決策疲勞和分析癱瘓的境地,因為他們試圖瞭解選擇哪種安全解決方案以及如何將其整合到他們的軟體開發 流水線 中。

 

但是,為什麼首先將DevSecOps成為如此關注的焦點呢?為了跟上創新的步伐,開發人員已成倍地增加了對開源軟體(OSS)的使用,使其現已廣泛應用於應用程式開發 交付過程 中。隨著越來越多的原始碼來自“外部”,如今,收集和理解其內容的需求變得至關重要。

在這篇文章中,我們將研究在減輕OSS中可能包含的漏洞方面最成功的工具和技術型別。然後,我們將分享一些技巧,這些技巧將幫助您從市場上脫穎而出,並在評估市場上的許多不同選項時做出更好,更明智的決策,尤其是在軟體組成分析(SCA)領域。

 

開發 的現實 &現狀

如今,典型的應用程式使用多達90%的OSS元件,這些元件取自公開可用的開源庫。這種趨勢 使得 應用程式中存在的漏洞數量 不斷 增加,進而導致漏洞 攻擊 和破壞。公司透過 DevOps 流水線 中新增更多安全檢查整合來做出反應。 

但是,安全專業人員和開發人員真正需要哪種型別的工具來確保其生產軟體的安全性和穩定性?公平地說,有多種廣泛的DevOps安全工具可以解決 軟體開發生命週期(SDLC)的 不同領域: 

  程式碼分析(靜態和動態)

  軟體組成分析(針對第三方OSS)

  執行時安全性分析(包括容器) 

理想情況下,團隊應該致力於採用所有這些領域 的工具 ,以實現完整的SDLC安全性,但是對於本部落格,我們將專注於軟體組成分析,該軟體的目標是緩解OSS 開源 元件和二進位制檔案中的漏洞和違反許可證合規性。

DevSecOps的七個必備條件

選擇DevSecOps工具時,需要確保以下7點:

 

1.  可以本地管理和理解所有 製品 的工具

在團隊 沒有 完成 確定哪個OSS元件具有漏洞的任務之前,他們首先需要一個通用的DevOps平臺,該平臺可以作為一個基本要求,在 集中 位置管理所有 元件 和二進位制 製品 檔案,而不論其 技術棧 型別如何。DevOps平臺需要知道 專案使用了哪些元件 以及它們之間的依賴關係 ,還有專案 建立了哪些 製品檔案。

 

2.  使用 最好的燃料

最有效的解決方案將需要像 這樣的世界一流的漏洞情報源的 ,以確保它具有最新的漏洞知識 。世界上最好的汽車如果他們沒有 最好 的燃料來推動他們什麼 也不是

 

3.  堅持可見性和影響分析

DevSecOps的“贏家”不僅能夠了解您的二進位制檔案使用了哪些OSS庫和元件,而且還能瞭解如何解壓和掃描它們並檢視所有底層和依賴項,甚至包括打包在Docker映像和zip檔案中的那些底層和依賴項。 能夠 瞭解組織 中製品檔案 依賴 關係結構的解決方案 為企業 提供 軟體交付 可見性,並 在交付過程中的 任何地方發現 漏洞或許可證違規的影響 範圍

 

4.  需要 支援 容器和雲 原生 框架

解決方案應支援基於容器的釋出框架, 容器 框架已迅速成為雲 原生 部署的事實上的標準。對容器技術的深入,遞迴的理解以及深入探究每一層 layer 的能力將確保漏洞不會被掩蓋。不幸的是,某些掃描工具不支援容器,或者對它們的所有不同層和可傳遞依賴項瞭解不足。

 

5.  自動化治理

公司安全部 自動 協作 管理的能力是 DevSecOps 的重要 籌碼 。治理系統必須能夠自動執行公司策略,並在不進行干預的情況下采取相應的措施。主要功能應包括:

  透過不同的渠道(例如電子郵件,即時訊息 或需求管理系統如 Jira)來通知違反安全性或合規性 問題,

  自動 阻止 包含問題(漏洞或許可證違規)製品的下

  使 依賴脆弱元件 (包含高危漏洞) 的構建失敗

  防止部署易受攻擊的 交付件

 

6.  遍及整個 流水線

DevSecOps中的差異化 點是 如何 將製品的詳細 資料 橫跨製品倉庫,構建,部署,執行等階段的安全掃描結合起來。 即使在生產部署之後 (執行時) ,一個可以覆蓋整個SDLC並持續檢測和監視漏洞和合規性違規的平臺將脫穎而出。

 

7.  混合動力

即使您尚未維護混合 型的 基礎架構。現在選擇支援您的持續雲端計算旅程和基礎架構混合的工具和解決方案,將確保您無論在何處的DevSecOps 流水線 中都具有一致性和標準。

 

總結

DevSecOps 不再 停留在 CIO的心願單。現在它是必須執行的IT戰略,它必須成為任何 組織 SDLC不可或缺的一部分。即使組織選擇了合適的DevSecOps解決方案,領導者也需要確保他們在各個團隊之間實施完善的DevSecOps流程。這包括需要繼續就應用程式安全最佳實踐對開發人員和DevOps從業人員進行培訓。開發人員安 全專業人員 比例通常是 250:1,因此 開發團隊之間 分享 安全知識 是彌補安全缺失的基礎

 

選擇一個可以管理儲存庫,二進位制檔案,CI / CD自動化和OSS元件分析並支援容器化釋出框架的DevSecOps平臺似乎是一項艱鉅的任務。此外,支援本地,雲,多雲和混合部署是一個額外的 挑戰 。但是,解決方案需求清單是一個很好的起點。我們希望這七個技巧將為您向供應商提出正確的問題,消除市場噪音以及做出明智的決定奠定堅實的基礎。

 


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69954434/viewspace-2761400/,如需轉載,請註明出處,否則將追究法律責任。

相關文章