ITPub博客

首页 > 自动化运维 > DevOps > 选择正确DevSecOps解决方案的七个技巧

选择正确DevSecOps解决方案的七个技巧

原创 DevOps 作者:JFrog杰蛙科技 时间:2021-03-05 15:25:36 0 删除 编辑

引言

随着越来越多的公司意识到将安全性集成到其DevOps 流水线 的重要性,对DevSecOps产品的需求一直在强劲增长。但是,投入DevSecOps市场寻求选择的IT和DevOps专业人员很快意识到,DevSecOps工具和框架的数量众多且令人困惑。选择过多,往往使他们陷入决策疲劳和分析瘫痪的境地,因为他们试图了解选择哪种安全解决方案以及如何将其集成到他们的软件开发 流水线 中。

 

但是,为什么首先将DevSecOps成为如此关注的焦点呢?为了跟上创新的步伐,开发人员已成倍地增加了对开源软件(OSS)的使用,使其现已广泛应用于应用程序开发 交付过程 中。随着越来越多的源代码来自“外部”,如今,收集和理解其内容的需求变得至关重要。

在这篇文章中,我们将研究在减轻OSS中可能包含的漏洞方面最成功的工具和技术类型。然后,我们将分享一些技巧,这些技巧将帮助您从市场上脱颖而出,并在评估市场上的许多不同选项时做出更好,更明智的决策,尤其是在软件组成分析(SCA)领域。

 

开发 的现实 &现状

如今,典型的应用程序使用多达90%的OSS组件,这些组件取自公开可用的开源库。这种趋势 使得 应用程序中存在的漏洞数量 不断 增加,进而导致漏洞 攻击 和破坏。公司通过 DevOps 流水线 中添加更多安全检查集成来做出反应。 

但是,安全专业人员和开发人员真正需要哪种类型的工具来确保其生产软件的安全性和稳定性?公平地说,有多种广泛的DevOps安全工具可以解决 软件开发生命周期(SDLC)的 不同领域: 

  代码分析(静态和动态)

  软件组成分析(针对第三方OSS)

  运行时安全性分析(包括容器) 

理想情况下,团队应该致力于采用所有这些领域 的工具 ,以实现完整的SDLC安全性,但是对于本博客,我们将专注于软件组成分析,该软件的目标是缓解OSS 开源 组件和二进制文件中的漏洞和违反许可证合规性。

DevSecOps的七个必备条件

选择DevSecOps工具时,需要确保以下7点:

 

1.  可以本地管理和理解所有 制品 的工具

在团队 没有 完成 确定哪个OSS组件具有漏洞的任务之前,他们首先需要一个通用的DevOps平台,该平台可以作为一个基本要求,在 集中 位置管理所有 组件 和二进制 制品 文件,而不论其 技术栈 类型如何。DevOps平台需要知道 项目使用了哪些组件 以及它们之间的依赖关系 ,还有项目 创建了哪些 制品文件。

 

2.  使用 最好的燃料

最有效的解决方案将需要像 这样的世界一流的漏洞情报源的 ,以确保它具有最新的漏洞知识 。世界上最好的汽车如果他们没有 最好 的燃料来推动他们什么 也不是

 

3.  坚持可见性和影响分析

DevSecOps的“赢家”不仅能够了解您的二进制文件使用了哪些OSS库和组件,而且还能了解如何解压和扫描它们并查看所有底层和依赖项,甚至包括打包在Docker映像和zip文件中的那些底层和依赖项。 能够 了解组织 中制品文件 依赖 关系结构的解决方案 为企业 提供 软件交付 可见性,并 在交付过程中的 任何地方发现 漏洞或许可证违规的影响 范围

 

4.  需要 支持 容器和云 原生 框架

解决方案应支持基于容器的发布框架, 容器 框架已迅速成为云 原生 部署的事实上的标准。对容器技术的深入,递归的理解以及深入探究每一层 layer 的能力将确保漏洞不会被掩盖。不幸的是,某些扫描工具不支持容器,或者对它们的所有不同层和可传递依赖项了解不足。

 

5.  自动化治理

公司安全部 自动 协作 管理的能力是 DevSecOps 的重要 筹码 。治理系统必须能够自动执行公司策略,并在不进行干预的情况下采取相应的措施。主要功能应包括:

  通过不同的渠道(例如电子邮件,即时消息 或需求管理系统如 Jira)来通知违反安全性或合规性 问题,

  自动 阻止 包含问题(漏洞或许可证违规)制品的下

  使 依赖脆弱组件 (包含高危漏洞) 的构建失败

  防止部署易受攻击的 交付件

 

6.  遍及整个 流水线

DevSecOps中的差异化 点是 如何 将制品的详细 数据 横跨制品仓库,构建,部署,运行等阶段的安全扫描结合起来。 即使在生产部署之后 (运行时) ,一个可以覆盖整个SDLC并持续检测和监视漏洞和合规性违规的平台将脱颖而出。

 

7.  混合动力

即使您尚未维护混合 型的 基础架构。现在选择支持您的持续云计算旅程和基础架构混合的工具和解决方案,将确保您无论在何处的DevSecOps 流水线 中都具有一致性和标准。

 

总结

DevSecOps 不再 停留在 CIO的心愿单。现在它是必须执行的IT战略,它必须成为任何 组织 SDLC不可或缺的一部分。即使组织选择了合适的DevSecOps解决方案,领导者也需要确保他们在各个团队之间实施完善的DevSecOps流程。这包括需要继续就应用程序安全最佳实践对开发人员和DevOps从业人员进行培训。开发人员安 全专业人员 比例通常是 250:1,因此 开发团队之间 分享 安全知识 是弥补安全缺失的基础

 

选择一个可以管理存储库,二进制文件,CI / CD自动化和OSS组件分析并支持容器化发布框架的DevSecOps平台似乎是一项艰巨的任务。此外,支持本地,云,多云和混合部署是一个额外的 挑战 。但是,解决方案需求清单是一个很好的起点。我们希望这七个技巧将为您向供应商提出正确的问题,消除市场噪音以及做出明智的决定奠定坚实的基础。

 


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/69954434/viewspace-2761400/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2019-11-15

  • 博文量
    73
  • 访问量
    35630