DevSecOps 流程中常見名詞縮寫

zktq2021發表於2023-04-10
dev

應用程式日益複雜並且開發速度加快,安全性越來越重要。隨著企業採用DevOps,在保護應用程式和基礎設施安全方面面臨更多的挑戰:

複雜性和自動化流程增加:自動化的DevOps使得流程和應用程式變得更加複雜。它們通常涉及保護多個系統和元件,如果不仔細管理和保護,很可能會引入漏洞。

依賴程式碼儲存庫:DevOps 團隊嚴重依賴程式碼儲存庫進行版本控制和協作。但這些儲存庫可能成為攻擊者的目標,注入惡意程式碼或竊取敏感資訊。

更大的攻擊面:DevOps管道由許多工具和元件組成,包括原始碼管理、構建系統、測試框架和部署工具。這些工具都可能有潛在的攻擊面。

快速迭代:DevOps環境中的快速開發速度有時會導致安全性被忽視或優先順序降低。

工具限制:雖然許多DevOps工具都帶有內建的安全特性,但這些特性可能不足以抵禦所有威脅。

什麼是 DevSecOps?

DevSecOps 使團隊能夠將安全性左移,並在整個 SDLC 中持續整合安全性。對於DevOps團隊來說,這也是一種文化轉變,因為它要求所有成員採用安全思維方式,確保軟體不僅以儘可能高的質量快速釋出,而且還包括在設計階段考慮安全性。

通常涉及採用安全編碼實踐和使用應用程式安全測試工具,以安全的方式幫助設計、測試、驗證、釋出和更新安全軟體。它要求不僅軟體本身是安全的,而且開發環境和整個供應鏈也是安全的。因此,DevSecOps依賴於高水平的自動化工具來減少人員工作。

DevOps 安全縮略語

1. SBOM — 軟體物料清單

軟體材料清單(SBOM)包括應用程式構建和交付中的所有元件和軟體依賴項。內容涵蓋了軟體中包含的所有不同元件和許可,以幫助發現潛在的漏洞和許可風險。

2. DAST – 動態應用程式安全測試

DAST在應用程式或服務執行時進行分析,以識別安全漏洞。這種技術通常模擬攻擊,以瞭解惡意行為者如何利用使用者或應用程式介面。團隊使用DAST工具來檢測靜態分析工具在分析原始碼時無法發現的由特定功能引起的複雜漏洞。

3. SCA – 軟體成分分析

SCA工具識別第三方元件和依賴項中的安全漏洞。團隊可以整合SCA在整個開發管道執行,為應用程式構建開源依賴樹,並將這些元件對映到已知漏洞的資料庫。該工具生成關於在應用程式中發現的需要修復或補丁的易受攻擊的開放原始碼元件的報告。

4. SAST – 靜態應用程式安全測試

SAST工具分析應用程式原始碼,識別由於不安全的編碼實踐而導致的潛在漏洞。團隊可以將SAST工具整合到他們的管道中,將其設定為自動拉取原始碼,以查詢編碼規範和可能導致安全漏洞的不安全物件或函式。SAST通常用於在編碼階段或將程式碼放入測試環境時識別漏洞。

5. IAST — 互動式應用程式安全測試

IAST在應用程式執行時分析原始碼中的漏洞。IAST的主要優點是該方法實時報告漏洞,並且不會為CI/CD管道增加額外的時間。它在應用程式內部工作,區別於在外部工作的SAST和DAST技術。IAST不掃描整個程式碼庫。相反,它只檢查在功能測試期間執行的部分。

6. RASP — 執行時應用程式自我保護

RASP是內建於測試應用程式中的一種防禦技術,用於在發生攻擊時檢測和響應。通常使用嵌入在應用程式中的第三方工具來實現,以監視傳入的請求和應用程式的行為,例如包、外掛或庫。

7. OWASP — 開放式 Web 應用程式安全專案

OWASP是一個非營利組織,致力於透過提供免費資源和工具來幫助提高軟體安全性。該組織由一個龐大的志願者社群組成,他們幫助提出、構建和管理支援更廣泛的軟體開發和安全社群的專案等。

8. XSS — 跨站點指令碼

XSS安全漏洞。在很多web應用程式中容易出現。自從2003年版本中包含這個漏洞,一直在OWASP TOP 10漏洞列表中。XSS漏洞使威脅行為者能夠在一個或多個使用者的瀏覽器中執行惡意指令碼程式碼。參與者經常使用XSS來收集敏感資訊,例如使用者會話詳細資訊和個人資料。

9. SQLi—SQL隱碼攻擊

SQLi是一種程式碼注入技術,使威脅行為者能夠攻擊應用程式。當應用程式需要使用者輸入(比如使用者名稱),但卻接收到惡意SQL語句時,通常會發生這種情況。要發動這種攻擊,攻擊者必須在web應用程式中找到易受攻擊的使用者輸入,建立輸入內容併傳送。如果資料庫執行惡意SQL命令,攻擊者將獲得對資料庫的訪問權。

10. CSRF——跨站請求偽造

CSRF是一種常見的web應用程式攻擊,它利用使用者和應用程式之間的信任進行各種惡意操作。威脅行為者使用CSRF劫持使用者瀏覽器和應用程式之間經過身份驗證的會話。一旦參與者訪問了會話,他們就可以使用它來執行應用程式上的功能。

結論

在當今混亂的網路環境中,DevOps團隊不能僅僅優先考慮快速釋出高質量軟體。為了保護軟體、基礎設施和開發環境,DevOps團隊需要將安全性整合到整個SDLC中。


來源:

https://devops.com/a-devops-guide-to-the-language-of-devsecops/


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2944646/,如需轉載,請註明出處,否則將追究法律責任。

相關文章