DevSecOps ፍርሃት እና መጥላት

2 ኮድ ተንታኞች፣ 4 ተለዋዋጭ የሙከራ መሳሪያዎች፣ የራሳችን የእጅ ስራዎች እና 250 ስክሪፕቶች ነበሩን። አሁን ባለው ሂደት ይህ ሁሉ አስፈላጊ ነበር ማለት አይደለም፣ ነገር ግን አንዴ DevSecOpsን መተግበር ከጀመሩ ወደ መጨረሻው መሄድ ያስፈልግዎታል።

ምንጭ. በ Justin Roiland እና Dan Harmon የተፈጠሩ ገፀ-ባህሪያት።

ሴክዴቭኦፕስ ምንድን ነው? ስለ DevSecOpsስ? ልዩነቶቹ ምንድን ናቸው? የመተግበሪያ ደህንነት - ስለ ምንድን ነው? ክላሲክ አካሄድ ለምን አይሰራም? እነዚህ ሁሉ ጥያቄዎች መልሱን ያውቃሉ ዩሪ ሻባሊን ከ Swordfish ደህንነት. ዩሪ ሁሉንም ነገር በዝርዝር ይመልሳል እና ከጥንታዊው የመተግበሪያ ደህንነት ሞዴል ወደ DevSecOps ሂደት የመሸጋገር ችግሮችን ይተነትናል-ደህንነቱ የተጠበቀውን የእድገት ሂደት ወደ DevOps ሂደት እንዴት በትክክል መቅረብ እና ምንም እንደማይሰበር ፣ ዋና ዋና ደረጃዎችን እንዴት ማለፍ እንደሚቻል ። የደህንነት ሙከራ, ምን አይነት መሳሪያዎች ጥቅም ላይ ሊውሉ እንደሚችሉ, እንዴት እንደሚለያዩ እና ወጥመዶችን ለማስወገድ እንዴት በትክክል ማዋቀር እንደሚቻል.

ስለ ተናጋሪው፡- ዩሪ ሻባሊን - በኩባንያው ውስጥ ዋና የደህንነት አርክቴክት Swordfish ደህንነት. የኤስኤስዲኤል ትግበራ ኃላፊነት ያለው ፣ አጠቃላይ የመተግበሪያ ትንተና መሳሪያዎችን ወደ አንድ የእድገት እና የፈተና ሥነ-ምህዳር ማዋሃድ። በመረጃ ደህንነት ውስጥ የ 7 ዓመታት ልምድ። ሶፍትዌሮችን በማዘጋጀት እና አገልግሎቶችን በሚሰጥ በአልፋ-ባንክ፣ በ Sberbank እና በፖዚቲቭ ቴክኖሎጂዎች ሰርቷል። የአለም አቀፍ ጉባኤዎች ተናጋሪ ZerONights፣ PHDays፣ RISSPA፣ OWASP።

የመተግበሪያ ደህንነት: ስለ ምንድን ነው?

የትግበራ ደህንነት ለመተግበሪያ ደህንነት ኃላፊነት ያለው የደህንነት ክፍል ነው። ይህ ስለ መሠረተ ልማት ወይም የአውታረ መረብ ደህንነት አይደለም, ነገር ግን ስለምንጽፈው እና ገንቢዎች በምን ላይ እንደሚሰሩ - እነዚህ የመተግበሪያው ጉድለቶች እና ድክመቶች ናቸው.

አቅጣጫ ኤስዲኤል ወይም ኤስዲኤልሲ - የደህንነት ልማት የሕይወት ዑደት - በማይክሮሶፍት የተሰራ። ስዕላዊ መግለጫው ቀኖናዊውን የ SDLC ሞዴል ያሳያል, ዋናው ስራው በእያንዳንዱ የእድገት ደረጃ ላይ የደህንነት ተሳትፎ ነው, ከ መስፈርቶች, ለመልቀቅ እና ለመልቀቅ ወደ ምርት. ማይክሮሶፍት በፕሮም ውስጥ በጣም ብዙ ሳንካዎች እንዳሉ ተረድቷል ፣ ከእነሱ የበለጠ ብዙ አሉ እና በዚህ ጉዳይ ላይ አንድ ነገር መደረግ አለበት ፣ እና ይህንን አቀራረብ አቅርበዋል ፣ ይህም ቀኖናዊ ሆነ።

አፕሊኬሽን ሴኩሪቲ እና ኤስኤስዲኤል በተለምዶ እንደሚታመን ተጋላጭነቶችን ለመለየት ሳይሆን እንዳይከሰቱ ለመከላከል ያለመ ነው። ከጊዜ በኋላ, ከማይክሮሶፍት ያለው ቀኖናዊ አቀራረብ ተሻሽሏል, ተሻሽሏል, የበለጠ ጥልቀት ያለው ጥልቅ ጥምቀት አለው.

ቀኖናዊ ኤስዲኤልሲ በተለያዩ ዘዴዎች በከፍተኛ ሁኔታ ተዘርዝሯል - OpenSAMM፣ BSIMM፣ OWASP። ዘዴዎቹ ይለያያሉ, ግን በአጠቃላይ ተመሳሳይ ናቸው.

በብስለት ሞዴል የግንባታ ደህንነት

በጣም ወድጄዋለሁ BSIMM - በብስለት ሞዴል የግንባታ ደህንነት. የአሰራር ዘዴው መሰረት የመተግበሪያ ደህንነት ሂደትን ወደ 4 ጎራዎች መከፋፈል ነው: አስተዳደር, ኢንተለጀንስ, SSDL Touchpoints እና Deployment. እያንዳንዱ ጎራ እንደ 12 እንቅስቃሴዎች የሚወከሉት 112 ልምዶች አሉት።

እያንዳንዳቸው 112 ተግባራት አሏቸው 3 የብስለት ደረጃዎችጀማሪ ፣ መካከለኛ እና የላቀ። ሁሉንም 12 ልምዶች በክፍል ውስጥ ማጥናት, ለእርስዎ አስፈላጊ የሆኑትን ነገሮች መምረጥ, እንዴት እንደሚተገበሩ ማወቅ እና ቀስ በቀስ ክፍሎችን ማከል ይችላሉ, ለምሳሌ የማይንቀሳቀስ እና ተለዋዋጭ ኮድ ትንተና ወይም የኮድ ግምገማ. እርስዎ እቅድ አውጥተው በተመረጡት ተግባራት አፈፃፀም መሰረት በእርጋታ ይሠራሉ.

ለምን DevSecOps

DevOps ደህንነትን መንከባከብ ያለበት አጠቃላይ ትልቅ ሂደት ነው።

በመጀመሪያ DevOps የተሳተፉ የደህንነት ፍተሻዎች. በተግባር የደህንነት ቡድኖች ቁጥር ከአሁኑ በጣም ያነሰ ነበር, እና በሂደቱ ውስጥ እንደ ተካፋይ አልነበሩም, ነገር ግን እንደ ቁጥጥር እና ቁጥጥር አካል, በእሱ ላይ ጥያቄዎችን የሚጠይቅ እና በተለቀቀው መጨረሻ ላይ የምርቱን ጥራት ያረጋግጣል. ይህ የጸጥታ ቡድኖች ከልማት ግድግዳ ጀርባ የነበሩበት እና በሂደቱ ውስጥ ያልተሳተፉበት የተለመደ አካሄድ ነው።

ዋናው ችግር የመረጃ ደኅንነት ከልማት የተለየ መሆኑ ነው። ብዙውን ጊዜ ይህ አንድ ዓይነት የ IB ወረዳ ሲሆን 2-3 ትላልቅ እና ውድ መሳሪያዎችን ይይዛል. በየስድስት ወሩ አንድ ጊዜ የምንጭ ኮድ ወይም አፕሊኬሽኑ ለመፈተሽ ይደርሳል እና በዓመት አንድ ጊዜ ጴንጤዎች. ይህ ሁሉ ለኢንዱስትሪው የሚለቀቅበት ቀን ለሌላ ጊዜ እንዲራዘም እና ከአውቶማቲክ መሳሪያዎች ብዙ ቁጥር ያላቸው ተጋላጭነቶች በገንቢው ላይ ይወድቃሉ። ይህንን ሁሉ ለመበተን እና ለመጠገን የማይቻል ነው, ምክንያቱም ባለፉት ስድስት ወራት ውስጥ እንኳን ውጤቶቹ አልተበተኑም, እና እዚህ አዲስ ስብስብ አለ.

በድርጅታችን ሥራ ሂደት ውስጥ በሁሉም አካባቢዎች እና ኢንዱስትሪዎች ውስጥ ያለው ደህንነት በአንድ መንኮራኩር ውስጥ እድገቱን ለመያዝ እና ለማሽከርከር ጊዜው አሁን መሆኑን ሲገነዘቡ እናያለን - በ ቀልጣፋ. የDevSecOps ፓራዳይም ከእያንዳንዱ ልቀት እና ተደጋጋሚነት ወደ ቀልጣፋ የእድገት ዘዴ፣ ትግበራ፣ ድጋፍ እና ተሳትፎ ጋር በትክክል ይጣጣማል።

ወደ DevSecOps ሽግግር

በደህንነት ልማት የህይወት ዑደት ውስጥ በጣም አስፈላጊው ቃል ነው። "ሂደት". መሳሪያዎችን ስለመግዛት ከማሰብዎ በፊት ይህንን መረዳት ያስፈልግዎታል.

በDevOps ሂደት ውስጥ መሳሪያዎችን ማካተት ብቻ በቂ አይደለም - በሂደቱ ተሳታፊዎች መካከል መግባባት እና መግባባት አስፈላጊ ነው።

ሰዎች ከመሳሪያዎች የበለጠ አስፈላጊ ናቸው

ብዙውን ጊዜ ደህንነቱ የተጠበቀ የእድገት ሂደት ማቀድ የሚጀምረው መሳሪያን በመምረጥ እና በመግዛት ነው, እና መሳሪያውን አሁን ካለው ሂደት ጋር ለማዋሃድ በሚደረጉ ሙከራዎች ያበቃል. ይህ ወደ አሳዛኝ ውጤቶች ይመራል, ምክንያቱም ሁሉም መሳሪያዎች የራሳቸው ባህሪያት እና ገደቦች አሏቸው.

የተለመደው ጉዳይ የደህንነት ክፍሉ ጥሩ እና ውድ መሳሪያን ከመረጠ እና ከሂደቱ ጋር ለመስራት ወደ ገንቢዎች ሲመጣ ነው። ግን አይሰራም - ሂደቱ የተገዛው መሣሪያ ውስንነት አሁን ካለው ምሳሌ ጋር እንዳይጣጣም በሚያስችል መንገድ ነው የተቀየሰው።

በመጀመሪያ, ምን ውጤት እንደሚፈልጉ እና ሂደቱ ምን እንደሚመስል ይግለጹ. ይህ በሂደቱ ውስጥ የመሳሪያውን እና የደህንነትን ሚናዎች ለመረዳት ይረዳል.

ቀደም ሲል ጥቅም ላይ ከዋለው ይጀምሩ

ውድ መሳሪያዎችን ከመግዛትዎ በፊት, ያለዎትን ይመልከቱ. እያንዳንዱ ኩባንያ ለልማት የሚውሉ የደህንነት መስፈርቶች አሉት, ቼኮች, ፔንታቶች አሉ - ለምን ይህን ሁሉ ወደ መረዳት እና ለሁሉም ሰው ምቹ ቅፅ አይለውጥም?

ብዙውን ጊዜ መስፈርቶቹ በመደርደሪያ ላይ የሚተኛ ወረቀት ታልሙድ ናቸው። ወደ ኩባንያው ስንመጣ ሂደቱን ለማየት እና የሶፍትዌሩን የደህንነት መስፈርቶች እንዲያሳዩ ስንጠይቅ አንድ ጉዳይ ነበር. ይህን ያደረገው ስፔሻሊስት ለረጅም ጊዜ እየፈለገ ነበር፡-

- አሁን፣ በማስታወሻዎቹ ውስጥ የሆነ ቦታ ይህ ሰነድ የሚገኝበት መንገድ ነበር።

በውጤቱም, ሰነዱ ከሳምንት በኋላ ደረሰን.

ለመመዘኛዎች፣ ቼኮች እና ሌሎችም፣ አንድ ገጽ ይፍጠሩ፣ ለምሳሌ በ ግራ መጋባት - ለሁሉም ሰው ምቹ ነው.

ቀድሞውንም ያለውን ነገር ማስተካከል እና ለመጀመር መጠቀም ቀላል ነው።

የደህንነት ሻምፒዮናዎችን ይጠቀሙ

ብዙውን ጊዜ በአማካይ ኩባንያ ውስጥ ለ 100-200 ገንቢዎች, በርካታ ተግባራትን የሚያከናውን አንድ የደህንነት መኮንን አለ እና ሁሉንም ነገር ለመፈተሽ ጊዜ የለውም. የተቻለውን ያህል ቢሞክር እንኳን ልማቱ የሚያመነጨውን ኮድ እሱ ብቻ አይፈትሽም። ለእንደዚህ ዓይነቶቹ ጉዳዮች ጽንሰ-ሀሳብ ተዘጋጅቷል - የደህንነት ሻምፒዮናዎች.

የደህንነት ሻምፒዮንስ በልማት ቡድን ውስጥ ያለ ለምርትዎ ደህንነት ፍላጎት ያለው ሰው ነው።

የደህንነት ሻምፒዮን ወደ ልማት ቡድን መግቢያ ነጥብ እና የደህንነት ወንጌላዊ ሁሉም ወደ አንድ ተንከባለሉ።

ብዙውን ጊዜ አንድ የደህንነት መኮንን ወደ ልማት ቡድኑ መጥቶ በኮዱ ላይ ስህተት ሲጠቁመው የሚገርም መልስ ይደርሰዋል፡-

- እና አንተ ማን ነህ? ለመጀመሪያ ጊዜ አያችኋለሁ. ሁሉም ነገር ከእኔ ጋር ጥሩ ነው - ከፍተኛ ጓደኛዬ በኮድ ግምገማ ላይ "ማመልከት" አስቀምጠናል, እንቀጥላለን!

ይህ የተለመደ ሁኔታ ነው፣ ​​ምክንያቱም በአዛውንቶች ወይም ገንቢው ሁልጊዜ በስራ እና በኮድ ግምገማ ውስጥ በሚገናኙባቸው የቡድን አጋሮች ላይ የበለጠ እምነት አለ። ከደህንነት ጠባቂ ይልቅ የደህንነት ሻምፒዮን ስህተቱን እና ውጤቶቹን የሚያመለክት ከሆነ, ቃሉ የበለጠ ክብደት ይኖረዋል.

እንዲሁም፣ ገንቢዎች ከማንኛውም የደህንነት ሰው በላይ ኮዳቸውን ያውቃሉ። በስታቲስቲክ መመርመሪያ መሳሪያ ውስጥ ቢያንስ 5 ፕሮጀክቶች ላለው ሰው አብዛኛውን ጊዜ ሁሉንም ጥቃቅን ነገሮች ለማስታወስ አስቸጋሪ ነው. የደህንነት ሻምፒዮናዎች ምርታቸውን ያውቃሉ: በመጀመሪያ ደረጃ ከምን እና ምን እንደሚታዩ - የበለጠ ውጤታማ ናቸው.

ስለዚህ የደህንነት ሻምፒዮኖችን መተግበር እና የደህንነት ቡድኑን ተፅእኖ ማስፋት ያስቡበት። ለሻምፒዮኑ እራሱ, ይህ ደግሞ ጠቃሚ ነው-በአዲስ መስክ ውስጥ ሙያዊ እድገት, የቴክኒክ ግንዛቤን ማስፋፋት, ቴክኒካዊ, የአመራር እና የአመራር ክህሎቶችን መጨመር, የገበያ ዋጋ መጨመር. ይህ አንዳንድ የማህበራዊ ምህንድስና አካል ነው፣ በልማት ቡድን ውስጥ የእርስዎ "አይኖች"።

የሙከራ ደረጃዎች

ምሳሌ 20 በ 80 20% ጥረቶች 80% ውጤቱን ይሰጣሉ ብለዋል ። እነዚህ 20% አውቶማቲክ ሊሆኑ የሚችሉ እና የሚገባቸው የመተግበሪያ ትንተና ልማዶች ናቸው። የእንደዚህ አይነት እንቅስቃሴዎች ምሳሌዎች የማይንቀሳቀስ ትንተና - SASTተለዋዋጭ ትንተና - DAST፣ и ክፍት ምንጭ ቁጥጥር. ስለ እንቅስቃሴዎች, እንዲሁም ስለ መሳሪያዎች, በሂደቱ ውስጥ በሚገቡበት ጊዜ ምን አይነት ባህሪያት እንደምናገኝ እና እንዴት በትክክል እንደሚሰሩ የበለጠ እነግርዎታለሁ.

ዋና የመሳሪያ ችግሮች

ትኩረት ለሚሹ መሳሪያዎች ሁሉ አስፈላጊ የሆኑትን ችግሮች አጉልቻለሁ. የበለጠ ላለመድገም የበለጠ በዝርዝር እተነትሻቸዋለሁ.

ረጅም ትንተና ጊዜ. ለምርት ከመስጠት እስከ መልቀቅ ድረስ ለሁሉም ሙከራዎች እና ስብሰባዎች 30 ደቂቃዎችን የሚወስድ ከሆነ የመረጃ ደህንነት ፍተሻዎች አንድ ቀን ይወስዳል። ስለዚህ ማንም ሰው ሂደቱን አይቀንስም. ይህንን ባህሪ ግምት ውስጥ ያስገቡ እና መደምደሚያዎችን ይሳሉ።

ከፍተኛ የውሸት አሉታዊ ወይም የውሸት አዎንታዊ። ሁሉም ምርቶች የተለያዩ ናቸው, ሁሉም የተለያዩ ማዕቀፎችን እና የራሳቸው ኮድ ዘይቤ ይጠቀማሉ. በተለያዩ የኮድ ቤዝ እና ቴክኖሎጂዎች መሳሪያዎች የተለያዩ የውሸት አሉታዊ እና የውሸት አዎንታዊ ደረጃዎችን ሊያሳዩ ይችላሉ። ስለዚህ ውስጥ ያለውን ተመልከት ያንተን ኩባንያዎች እና ለ ያንተ ትግበራዎች ጥሩ እና አስተማማኝ ውጤት ያሳያሉ.

ከነባር መሳሪያዎች ጋር ምንም ውህደት የለም።. አስቀድመው ከተጠቀሙበት ጋር ከመዋሃድ አንፃር መሳሪያዎቹን ይመልከቱ። ለምሳሌ፣ Jenkins ወይም TeamCity ካለዎት፣ ከዚህ ሶፍትዌር ጋር የመሳሪያዎችን ውህደት ያረጋግጡ፣ እና ከ GitLab CI ጋር ሳይሆን፣ እርስዎ አይጠቀሙበትም።

የማበጀት እጥረት ወይም ከመጠን በላይ ውስብስብነት። መሣሪያው ኤፒአይ ከሌለው ለምን አስፈለገ? በይነገጹ ውስጥ ሊደረጉ የሚችሉት ሁሉም ነገሮች በኤፒአይ በኩል መገኘት አለባቸው። በሐሳብ ደረጃ, መሣሪያው ቼኮችን የማበጀት ችሎታ ሊኖረው ይገባል.

ምንም የምርት ልማት ፍኖተ ካርታ የለም። ልማት አሁንም አይቆምም, ሁልጊዜ አዲስ ማዕቀፎችን እና ተግባራትን እንጠቀማለን, የድሮውን ኮድ ወደ አዲስ ቋንቋዎች እንጽፋለን. የምንገዛው መሳሪያ አዳዲስ ማዕቀፎችን እና ቴክኖሎጂዎችን እንደሚደግፍ ማረጋገጥ እንፈልጋለን። ስለዚህ, ምርቱ እውነተኛ እና ትክክለኛ መሆኑን ማወቅ አስፈላጊ ነው በየክፍል ልማት.

የሂደት ባህሪዎች

ከመሳሪያዎቹ ባህሪያት በተጨማሪ, የእድገት ሂደቱን ገፅታዎች ግምት ውስጥ ያስገቡ. ለምሳሌ በልማት ውስጥ ጣልቃ መግባት የተለመደ ስህተት ነው. ሌሎች ባህሪያት ምን ግምት ውስጥ መግባት እንዳለባቸው እና የደህንነት ቡድኑ ምን ትኩረት መስጠት እንዳለበት እንይ.

ልማቱን ላለማደናቀፍ እና የግዜ ገደቦችን ለመልቀቅ, ይፍጠሩ የተለያዩ ደንቦች እና የተለየ ማቆሚያዎችን አሳይ - ተጋላጭነቶች ባሉበት ጊዜ የግንባታ ሂደቱን ለማቆም መስፈርቶች - ለተለያዩ አካባቢዎች. ለምሳሌ፣ አሁን ያለው ቅርንጫፍ ወደ ልማት መቆሚያ ወይም UAT እንደሚሄድ ስለምንረዳ ቆም ብለን አንናገርም፦

- እዚህ ድክመቶች አሉዎት, ከዚህ በላይ የትም አይሄዱም!

በዚህ ጊዜ፣ ሊመለከቷቸው የሚገቡ የደህንነት ጉዳዮች እንዳሉ ለገንቢዎች መንገር አስፈላጊ ነው።

የተጋላጭነት መኖር ለተጨማሪ ምርመራ እንቅፋት አይደለም: በእጅ, ውህደት ወይም መመሪያ. በሌላ በኩል የምርቱን ደህንነት እንደምንም ማሻሻል አለብን፣ እና ገንቢዎቹ ሴኪዩሪቲው በሚያገኘው ነገር ላይ ነጥብ እንዳያስመዘግቡ። ስለዚህ ፣ አንዳንድ ጊዜ ይህንን እናደርጋለን-በመቆሚያው ላይ ፣ ወደ ልማት አካባቢ ሲወጣ ፣ በቀላሉ ልማቱን እናሳውቅዎታለን-

- ወንዶች, ችግሮች አሉብዎት, እባክዎን ለእነሱ ትኩረት ይስጡ.

በ UAT ደረጃ፣ ስለ ድክመቶች ማስጠንቀቂያዎችን በድጋሚ እናሳያለን፣ እና በፕሮም መውጫው ላይ እንዲህ እንላለን፡-

"ወንዶች, ብዙ ጊዜ አስጠንቅቀናል, ምንም ነገር አላደረጋችሁም - በዚህ አንፈቅድም.

ስለ ኮድ እና ተለዋዋጭነት ከተነጋገርን, በዚህ ባህሪ ውስጥ የተጻፉትን ባህሪያት እና ኮድ ብቻ ማሳየት እና ስለ ተጋላጭነቶች ማስጠንቀቅ አስፈላጊ ነው. ገንቢው አዝራሩን በ 3 ፒክሰሎች ካንቀሳቅስ እና እዚያ የ SQL መርፌ እንዳለው እና ስለዚህ በአስቸኳይ መስተካከል እንዳለበት እንነግረዋለን, ይህ ስህተት ነው. አሁን የተጻፈውን ብቻ ይመልከቱ, እና ወደ ማመልከቻው የሚመጣውን ለውጥ ይመልከቱ.

አንዳንድ የተግባር ጉድለቶች አሉን እንበል - አፕሊኬሽኑ የማይሰራበት መንገድ: ገንዘብ አይተላለፍም, አዝራሩን ሲጫኑ, ወደሚቀጥለው ገጽ ምንም ሽግግር የለም, ወይም ምርቱ አይጫንም. የደህንነት ጉድለቶች - እነዚህ ተመሳሳይ ጉድለቶች ናቸው, ነገር ግን በመተግበሪያው አውድ ውስጥ አይደለም, ግን ደህንነት.

ሁሉም የሶፍትዌር ጥራት ጉዳዮች የደህንነት ጉዳዮች አይደሉም። ነገር ግን ሁሉም የደህንነት ችግሮች ከሶፍትዌሩ ጥራት ጋር የተያያዙ ናቸው. ሸሪፍ መንሱር፣ ኤክስፔዲያ።

ሁሉም ድክመቶች ተመሳሳይ ጉድለቶች ስለሆኑ ሁሉም የእድገት ጉድለቶች ባሉበት ቦታ ላይ መቀመጥ አለባቸው. ስለዚህ ማንም የማያነበው ሪፖርቶችን እና አስፈሪ ፒዲኤፎችን ይረሱ።

በልማት ድርጅት ውስጥ ስሠራ ከስታቲክ ትንተና መሳሪያዎች ሪፖርት ደረሰኝ። ከፈትኩት፣ ደንግጬ፣ ቡና አፍሬ፣ 350 ገፅ ቅጠል አርጌ፣ ዘጋሁትና ወደ ስራ ገባሁ። ትልልቅ ዘገባዎች የሞቱ ዘገባዎች ናቸው።. አብዛኛውን ጊዜ የትም አይሄዱም፣ ኢሜይሎች ይሰረዛሉ፣ ይረሳሉ፣ ይጠፋሉ፣ ወይም ንግዱ አደጋ እየፈጠረ ነው ይላል።

ምን ለማድረግ? በቀላሉ ያገኘናቸውን የተረጋገጡ ጉድለቶች ለልማት ምቹ ወደሆነ ፎርም እንለውጣለን ለምሳሌ በጂራ ውስጥ ወደ ኋላ መዝገብ ውስጥ እንጨምረዋለን። ጉድለቶች ከተግባራዊ ጉድለቶች እና የፈተና ጉድለቶች ጋር በቅደም ተከተል ቅድሚያ ተሰጥተው ይወገዳሉ.

የማይንቀሳቀስ ትንተና - SAST

ይህ ለተጋላጭነት ኮድ ትንተና ነው።፣ ግን እንደ SonarQube ተመሳሳይ አይደለም። ለስርዓተ-ጥለት ወይም ቅጥ ብቻ ሳይሆን እንፈትሻለን። ትንታኔው በርካታ አቀራረቦችን ይጠቀማል፡ በተጋላጭነት ዛፍ፣ በ የውሂብ ፍሰት, የውቅረት ፋይሎችን በመተንተን. ለኮዱ ራሱ ያ ብቻ ነው።

የአቀራረብ ጥቅሞች: በመጀመሪያ የእድገት ደረጃ ላይ በኮድ ውስጥ ያሉ ድክመቶችን መለየትመቆሚያዎች እና የተዘጋጁ መሳሪያዎች በማይኖሩበት ጊዜ, እና ተጨማሪ ቅኝት ችሎታ: የተለወጠውን የኮድ ክፍል ይቃኛል እና አሁን እየሰራን ያለነውን ባህሪ ብቻ ነው፣ ይህም የፍተሻ ጊዜን ይቀንሳል።

Минусы ለሚያስፈልጉ ቋንቋዎች ድጋፍ ማጣት ነው.

አስፈላጊ ውህደቶች ፣ በመሳሪያዎቹ ውስጥ መሆን ያለበት, በእኔ ተጨባጭ አስተያየት:

• የውህደት መሳሪያ፡ Jenkins፣ TeamCity እና Gitlab CI
• የልማት አካባቢ፡ Intellij IDEA, Visual Studio. አንድ ገንቢ አሁንም ሊታወስ የሚገባውን ለመረዳት ወደማይችል በይነገጽ ላለመውጣት የበለጠ አመቺ ነው, ነገር ግን በእራሱ የእድገት አካባቢ ውስጥ በሥራ ቦታ በትክክል ያገኘውን ሁሉንም አስፈላጊ ውህደቶች እና ድክመቶችን ለማየት.
• ኮድ ግምገማ: SonarQube እና በእጅ ግምገማ.
• የተበላሹ መከታተያዎች፡ ጂራ እና ቡግዚላ።

ስዕሉ አንዳንድ ምርጥ የስታቲስቲክ ትንተና ተወካዮችን ያሳያል.

ዋናው ነገር መሳሪያዎቹ አይደሉም፣ ሂደቱ እንጂ፣ ስለዚህ ሂደቱን ለማስኬድ ጥሩ የሆኑ ክፍት ምንጭ መፍትሄዎች አሉ።

SAST ክፍት ምንጭ እጅግ በጣም ብዙ ተጋላጭነቶችን ወይም ውስብስብ የውሂብ ፍሰትን አያገኝም ነገር ግን ሂደትን በሚገነቡበት ጊዜ ጥቅም ላይ መዋል ይችላሉ እና አለባቸው። ሂደቱ እንዴት እንደሚገነባ, ለትልች ማን ምላሽ እንደሚሰጥ, ማን ሪፖርት እንደሚያደርግ, ማን እንደሚያሳውቅ ለመረዳት ይረዳሉ. የኮድዎን ደህንነት የመገንባት የመጀመሪያ ደረጃ ማከናወን ከፈለጉ የክፍት ምንጭ መፍትሄዎችን ይጠቀሙ።

በጉዞው መጀመሪያ ላይ ከሆንክ ይህ እንዴት ሊዋሃድ ይችላል, ምንም የለህም: CI, ወይም Jenkins, ወይም TeamCity? የሂደቱን ውህደት ግምት ውስጥ ያስገቡ.

በሲቪኤስ ደረጃ ውህደት

Bitbucket ወይም GitLab ካለህ ደረጃ ላይ ውህደት ማድረግ ትችላለህ ተመሳሳይ ስሪቶች ስርዓት.

በክስተት ጥያቄን ይጎትቱ, ይፈጽሙ. ኮዱን ቃኙት እና የደህንነት ፍተሻው እንዳለፈ ወይም እንዳልተሳካ በግንባታ ሁኔታ ያሳዩ።

ግብረመልስ እርግጥ ነው, ሁልጊዜ አስተያየት ያስፈልጋል. በደህንነት በኩል ብቻ ካደረጉት, በሳጥን ውስጥ ያስቀምጡት እና ለማንም ሰው ምንም ነገር አልነገሩም, እና ከዚያም በወሩ መጨረሻ ላይ ብዙ ሳንካዎችን ከጣሉ, ይህ ትክክል አይደለም እና ጥሩ አይደለም.

ከኮድ ግምገማ ስርዓት ጋር ውህደት

አንዴ፣ የAppSec ቴክኒካል ተጠቃሚን በበርካታ አስፈላጊ ፕሮጀክቶች ውስጥ እንደ ነባሪ ገምጋሚ ​​አድርገናል። በአዲሱ ኮድ ውስጥ ስህተቶች እንደተገኙ ወይም ምንም ስህተቶች ከሌሉ ላይ በመመስረት ገምጋሚው ሁኔታውን “መቀበል” ወይም “ሥራ ያስፈልጋል” የሚለውን የመጎተቻ ጥያቄ ላይ ያስቀምጣል - ወይ ሁሉም ነገር ደህና ነው ፣ ወይም ማጠናቀቅ እና በትክክል ምን ጋር ማገናኘት ያስፈልግዎታል ለማጠናቀቅ. እየተለቀቀ ካለው ስሪት ጋር ለመዋሃድ፣ የአይኤስ ፈተና ካልተላለፈ ውህደትን አሰናክለናል። ይህንን በእጅ ኮድ ግምገማ ውስጥ አካትተናል፣ እና የተቀሩት የሂደቱ ተሳታፊዎች ለዚህ ልዩ ሂደት የደህንነት ሁኔታዎችን አይተዋል።

ከSonarQube ጋር ውህደት

ብዙዎች አሏቸው ጥራት ያለው በር በኮድ ጥራት. እዚህ ተመሳሳይ ነው - ለ SAST መሳሪያዎች አንድ አይነት በሮች መስራት ይችላሉ. ተመሳሳይ በይነገጽ, ተመሳሳይ ጥራት ያለው በር ይኖራል, እሱ ብቻ ይጠራል የደህንነት በር. እና ደግሞ፣ SonarQube ን በመጠቀም የተዋቀረ ሂደት ካለዎት ሁሉንም ነገር እዚያ በቀላሉ ማዋሃድ ይችላሉ።

በ CI ደረጃ ውህደት

እዚህ ፣ እንዲሁም ፣ ሁሉም ነገር በጣም ቀላል ነው-

• ከአውቶሞተሮች ጋር እኩል ነው።, ክፍል ሙከራዎች.
• በልማት ደረጃዎች መከፋፈል: dev, test, prod. የተለያዩ የሕጎች ስብስቦች ሊካተቱ ይችላሉ, ወይም የተለያዩ ውድቀቶች ሁኔታዎች: ስብሰባውን እናቆማለን, ስብሰባውን አናቆምም.
• የተመሳሰለ / ያልተመሳሰለ ጅምር. የደህንነት ፈተናዎችን መጨረሻ እየጠበቅን ነው ወይም አንጠብቅም። ማለትም፣ አስጀምረናቸው ወደ ፊት እንቀጥላለን፣ ከዚያም ሁሉም ነገር ጥሩ ወይም መጥፎ ነው የሚል ደረጃ እናገኛለን።

ይህ ሁሉ ፍጹም በሆነ ሮዝ ዓለም ውስጥ ነው። በእውነተኛ ህይወት, ይህ አይደለም, ግን እንተጋለን. የደህንነት ፍተሻዎችን የማካሄድ ውጤት ከክፍል ሙከራዎች ውጤቶች ጋር ተመሳሳይ መሆን አለበት.

ለምሳሌ አንድ ትልቅ ፕሮጀክት ወስደን አሁን በ SAST እንቃኘዋለን ብለን ወሰንን - እሺ። ይህንን ፕሮጀክት ወደ SAST ገፋነው፣ 20 ተጋላጭነቶችን ሰጥቶናል፣ እና ሁሉም ነገር ጥሩ እንደሆነ በጠንካራ ፍላጎት ውሳኔ ወስነናል። 000 ተጋላጭነቶች የእኛ የቴክኒክ ዕዳ ነው። ዕዳውን በሳጥን ውስጥ እናስቀምጠዋለን, ቀስ ብለን እናነሳዋለን እና ጉድለት ያለባቸውን መከታተያዎች እንጀምራለን. ኩባንያ መቅጠር፣ ሁሉንም ነገር እራሳችንን አድርግ፣ ወይም የደህንነት ሻምፒዮናዎች እንዲረዱን አድርግ፣ እና የቴክኒክ ዕዳ ይቀንሳል።

እና በአዲሱ ኮድ ውስጥ ሁሉም አዲስ የሚታዩ ድክመቶች በአንድ ክፍል ውስጥ ወይም በአውቶሞተሮች ውስጥ እንደ ስህተቶች በተመሳሳይ መንገድ መወገድ አለባቸው። በአንፃራዊነት ጉባኤው ተጀምሯል፣ ተነዳ፣ ሁለት ፈተናዎች እና ሁለት የጥበቃ ሙከራዎች ወድቀዋል። እሺ - ሄድን, የሆነውን ተመለከትን, አንዱን አስተካክለን, ሁለተኛውን አስተካክለን, በሚቀጥለው ጊዜ መንዳት - ሁሉም ነገር ደህና ነው, ምንም አዲስ ድክመቶች አልታዩም, ፈተናዎቹ አልተሳኩም. ይህ ተግባር ጠለቅ ያለ ከሆነ እና በደንብ ሊረዱት ከፈለጉ ወይም ድክመቶችን ማስተካከል በኮፈኑ ስር ያሉ ትላልቅ ንብርብሮች ላይ ተጽዕኖ ያሳድራል-ስህተት ወደ ጉድለቱ መከታተያ ውስጥ ገብቷል ፣ ቅድሚያ ተሰጥቷል እና ተስተካክሏል። እንደ አለመታደል ሆኖ ዓለም ፍፁም አይደለችም እና ፈተናዎች አንዳንድ ጊዜ ይወድቃሉ።

የደህንነት በር ምሳሌ በኮዱ ውስጥ ካሉት ተጋላጭነቶች መገኘት እና ብዛት አንፃር የጥራት በር አናሎግ ነው።

ከ SonarQube ጋር እናዋህዳለን - ተሰኪው ተጭኗል ፣ ሁሉም ነገር በጣም ምቹ እና አሪፍ ነው።

የልማት አካባቢ ውህደት

የውህደት አማራጮች፡-

• ከመፈጸሙ በፊትም እንኳ ከልማት አካባቢ ቅኝት መጀመር።
• ውጤቶችን ይመልከቱ።
• የውጤቶች ትንተና.
• ከአገልጋዩ ጋር ማመሳሰል.

ከአገልጋዩ ውጤት ማግኘት ይህን ይመስላል።

በልማት አካባቢያችን ኢንቴልጄ አይዲኢኤ በፍተሻው ወቅት እንደዚህ ያሉ ድክመቶች ተገኝተዋል የሚል ተጨማሪ ንጥል ነገር ይመስላል። ወዲያውኑ ኮዱን ማርትዕ፣ ምክሮችን ማየት እና ይችላሉ። ፍሰት ግራፍ. ይህ ሁሉ በገንቢው የሥራ ቦታ ላይ ይገኛል, ይህም በጣም ምቹ ነው - የተቀሩትን አገናኞች መከተል እና ተጨማሪ ነገር ማየት አያስፈልግዎትም.

ክፍት ምንጭ

ይህ የእኔ ተወዳጅ ርዕስ ነው. ሁሉም ሰው ክፍት ምንጭ ቤተ-መጻሕፍትን ይጠቀማል - ሁሉም ነገር አስቀድሞ የተተገበረበትን ዝግጁ የሆነ ቤተ-መጽሐፍት መውሰድ ሲችሉ ለምን ብዙ ክራንች እና ብስክሌቶችን ይፃፉ?

በእርግጥ ይህ እውነት ነው፣ ነገር ግን ቤተ-መጻህፍት እንዲሁ በሰዎች የተፃፉ ናቸው፣ እንዲሁም አንዳንድ አደጋዎችን ያካትታሉ፣ እና በየጊዜው፣ ወይም በየጊዜው የሚዘገቡት ድክመቶችም አሉ። ስለዚህ, በመተግበሪያ ደህንነት ውስጥ ቀጣዩ ደረጃ አለ - ይህ የክፍት ምንጭ አካላት ትንተና ነው.

ክፍት ምንጭ ትንተና - OSA

መሣሪያው ሶስት ዋና ደረጃዎችን ያካትታል.

በቤተመጻሕፍት ውስጥ ድክመቶችን ማግኘት. ለምሳሌ፣ መሣሪያው አንዳንድ ዓይነት ቤተ-መጻሕፍት እየተጠቀምን መሆኑን ያውቃል፣ እና በ ውስጥ CVE ወይም በሳንካ መከታተያዎች ውስጥ ከዚህ የቤተ-መጽሐፍት ስሪት ጋር የሚዛመዱ አንዳንድ ተጋላጭነቶች አሉ። ለመጠቀም ከሞከሩ መሣሪያው ቤተ መፃህፍቱ ለጥቃት የተጋለጠ መሆኑን ያስጠነቅቀዎታል, እና ምንም ድክመቶች በሌሉበት ሌላ ስሪት እንዲጠቀሙ ይመክራል.

የፍቃድ ንፅህና ትንተና. ይህ እስካሁን በእኛ ዘንድ በጣም ተወዳጅ አይደለም፣ ነገር ግን ከባዕድ አገር ጋር አብረው የሚሰሩ ከሆነ፣ እዚያ ጥቅም ላይ መዋል ወይም ማሻሻል የማይችል ክፍት ምንጭ አካልን በመጠቀም አልፎ አልፎ ጥቃት ሊደርስብዎ ይችላል። ፈቃድ ባለው ቤተ-መጽሐፍት ፖሊሲ መሰረት, ይህንን ማድረግ አንችልም. ወይም፣ አሻሽለን ከተጠቀምንበት፣ ኮዳችንን መለጠፍ አለብን። እርግጥ ነው, ማንም ሰው የምርቶቹን ኮድ መለጠፍ አይፈልግም, ግን እራስዎን ከዚህ መጠበቅ ይችላሉ.

በኢንዱስትሪ አካባቢ ውስጥ ጥቅም ላይ የሚውሉ ክፍሎችን ትንተና. በመጨረሻ ልማትን እንደጨረስን እና የቅርብ ጊዜውን የጥቃቅን አገልግሎታችንን ለኢንዱስትሪው እንደለቀቅን አንድ መላምታዊ ሁኔታ አስቡት። እሱ በሚያስደንቅ ሁኔታ ይኖራል - ሳምንት ፣ ወር ፣ አንድ ዓመት። እኛ አንሰበስበውም, የደህንነት ፍተሻዎችን አንሰራም, ሁሉም ነገር ጥሩ ይመስላል. ነገር ግን በድንገት, ከተለቀቀ ከሁለት ሳምንታት በኋላ, በክፍት ምንጭ አካል ውስጥ ወሳኝ የሆነ ተጋላጭነት ይወጣል, በዚህ ልዩ ስብሰባ ውስጥ, በኢንዱስትሪ አካባቢ ውስጥ የምንጠቀመው. ምን እና የት እንደምንጠቀም ካልመዘገብን ይህ ተጋላጭነት በቀላሉ አይታይም። አንዳንድ መሳሪያዎች በአሁኑ ጊዜ በፕሮም ውስጥ ጥቅም ላይ በሚውሉ ቤተ-መጻህፍት ውስጥ ያሉ ተጋላጭነቶችን የመከታተል ችሎታ አላቸው። በጣም ጠቃሚ ነው.

ባህሪዎች:

• ለተለያዩ የእድገት ደረጃዎች የተለያዩ ፖሊሲዎች.
• በኢንዱስትሪ አካባቢ ውስጥ ክፍሎችን ይቆጣጠሩ.
• በድርጅቱ ኮንቱር ውስጥ የቤተ-መጻህፍት ቁጥጥር.
• ለተለያዩ የግንባታ ስርዓቶች እና ቋንቋዎች ድጋፍ.
• የዶከር ምስሎች ትንተና.

በክፍት ምንጭ ትንተና ላይ የተሰማሩ በመስኩ ላይ ያሉ መሪዎች ጥቂት ምሳሌዎች።

ብቸኛው ነፃ ነው። ጥገኝነት ማረጋገጥ ከ OWASP በመጀመሪያዎቹ ደረጃዎች ላይ ማብራት ይችላሉ, እንዴት እንደሚሰራ እና ምን እንደሚደግፍ ይመልከቱ. በመሠረቱ, እነዚህ ሁሉም የደመና ምርቶች ናቸው, ወይም በግቢው ላይ, ነገር ግን ከመሠረቱ ጀርባ አሁንም ወደ በይነመረብ ይሄዳሉ. የተጋላጭነት መኖር ዜናን ለመቀበል ሃሽ ወይም እሴቶቻቸውን እና የጣት አሻራዎችን ወደ አገልጋያቸው እንጂ ቤተ-መጽሐፍትህን አይልኩም።

የሂደት ውህደት

የፔሪሜትር ቤተ-መጽሐፍት ቁጥጥርከውጭ ምንጮች የሚወርዱ. ውጫዊ እና ውስጣዊ ማከማቻዎች አሉን. ለምሳሌ፣ በ Event Central ውስጥ Nexus አለን፣ እና በእኛ ማከማቻ ውስጥ “ወሳኝ” ወይም “ከፍተኛ” ደረጃ ያላቸው ተጋላጭነቶች አለመኖራቸውን ማረጋገጥ እንፈልጋለን። እንደዚህ ያሉ ተጋላጭነቶች እንዲቆራረጡ እና በውስጣዊ ማከማቻ ውስጥ እንዳይካተቱ የNexus Firewall Lifecycle መሳሪያን በመጠቀም ፕሮክሲንግ ማቀናበር ይችላሉ።

CI ውህደት. በተመሳሳይ ደረጃ ከአውቶሞተሮች ፣ የክፍል ሙከራዎች እና ወደ የእድገት ደረጃዎች መከፋፈል-dev ፣ test ፣ prod. በእያንዳንዱ ደረጃ, ማንኛውንም ቤተ-መጻሕፍት ማውረድ ይችላሉ, ማንኛውንም ነገር ይጠቀሙ, ነገር ግን "ወሳኝ" ሁኔታ ያለው ከባድ ነገር ካለ, ወደ ፕሮም ውስጥ በሚገቡበት ደረጃ ላይ የገንቢዎችን ትኩረት መሳብ አለብዎት.

አርቲፊሻል ውህደት: Nexus እና JFrog

በልማት አካባቢ ውስጥ ውህደት. የመረጧቸው መሳሪያዎች ከልማት አካባቢዎች ጋር ውህደት ሊኖራቸው ይገባል. ገንቢው የፍተሻ ውጤቱን በስራ ቦታው ማግኘት ወይም በCVS ውስጥ ከመግባቱ በፊት የተጋላጭነት ኮድን የመቃኘት እና የማጣራት ችሎታ ሊኖረው ይገባል።

የሲዲ ውህደት. ይህ በጣም የምወደው እና ቀደም ሲል የተናገርኩት ጥሩ ባህሪ ነው - በኢንዱስትሪ አካባቢ ውስጥ አዳዲስ ተጋላጭነቶችን መከሰት መከታተል። እንደዚህ ይሰራል።

እና አለነ የህዝብ አካል ማከማቻዎች - አንዳንድ የውጭ መሳሪያዎች እና የእኛ የውስጥ ማከማቻ። በእሱ ውስጥ የታመኑ አካላት ብቻ እንዲሆኑ እንፈልጋለን። ጥያቄን በውክልና ስንሰጥ፣ የወረደው ቤተ-መጽሐፍት ምንም አይነት ተጋላጭነት እንደሌለው እናረጋግጣለን። እኛ ባዘጋጀናቸው እና ከልማቱ ጋር ካስተባበርናቸው የተወሰኑ ፖሊሲዎች ስር የሚወድቅ ከሆነ እኛ አንሰቀልም እና ሌላ ስሪት ለመጠቀም መቃወም ይመጣል። በዚህ መሠረት, በቤተ-መጽሐፍት ውስጥ በጣም ወሳኝ እና መጥፎ ነገር ካለ, ገንቢው በመጫኛ ደረጃ ላይ እንኳን ሳይቀር ቤተ-መጽሐፍቱን አይቀበልም - ከፍ ያለ ወይም ያነሰ ስሪት ይጠቀም.

• በምንገነባበት ጊዜ ማንም ሰው ምንም መጥፎ ነገር እንዳንሸራተት፣ ሁሉም አካላት ደህና መሆናቸውን እና ማንም በፍላሽ አንፃፊ ላይ አደገኛ ነገር እንዳመጣ እንፈትሻለን።
• እኛ በማከማቻው ውስጥ የታመኑ አካላት ብቻ አሉን።
• በማሰማራት ጊዜ፣ ፓኬጁን እንደገና እንፈትሻለን፡ ጦርነት፣ ጀር፣ ዲኤል ወይም ዶከር ምስል ፖሊሲውን የሚያከብር መሆኑን ነው።
• ወደ ኢንዱስትሪያዊ አከባቢ ስንገባ, በኢንዱስትሪ አካባቢ ውስጥ ምን እየተከሰተ እንዳለ እንቆጣጠራለን-ወሳኝ ድክመቶች ይታያሉ ወይም አይታዩም.

ተለዋዋጭ ትንታኔ - DAST

ተለዋዋጭ ትንተና መሳሪያዎች ቀደም ሲል ከተነገሩት ነገሮች ሁሉ በመሠረቱ የተለዩ ናቸው. ይህ ከመተግበሪያው ጋር የተጠቃሚውን ስራ የማስመሰል አይነት ነው። ይህ የድር መተግበሪያ ከሆነ የደንበኛውን ሥራ በመኮረጅ ጥያቄዎችን እንልካለን ፣ ከፊት ባሉት ቁልፎች ላይ ጠቅ ያድርጉ ፣ አርቲፊሻል ውሂብን ከቅጹ እንልካለን-ጥቅሶች ፣ ቅንፎች ፣ ቁምፊዎች በተለያዩ ኢንኮዲንግ ውስጥ አፕሊኬሽኑ እንዴት እንደሚሰራ እና ውጫዊ ሂደትን ለመመልከት ውሂብ.

ተመሳሳይ ስርዓት በክፍት ምንጭ ውስጥ የአብነት ተጋላጭነቶችን ለመፈተሽ ያስችልዎታል። DAST የትኛውን የክፍት ምንጭ እንደምንጠቀም ስለማያውቅ በቀላሉ "ተንኮል አዘል" ቅጦችን ይጥላል እና የአገልጋዩን ምላሽ ይመረምራል።

- አዎ፣ እዚህ የመጥፋት ችግር አለ፣ ግን እዚህ የለም።

በዚህ ውስጥ ትልቅ አደጋዎች አሉ, ምክንያቱም ይህን የደህንነት ሙከራ ሞካሪዎች በሚሰሩበት ተመሳሳይ አቋም ላይ ካደረጉ, ደስ የማይሉ ነገሮች ሊከሰቱ ይችላሉ.

• በመተግበሪያው አገልጋይ አውታረመረብ ላይ ከፍተኛ ጭነት።
• ምንም ውህደት የለም።
• የተተነተነውን መተግበሪያ ቅንብሮችን የመቀየር ችሎታ።
• አስፈላጊ ለሆኑ ቴክኖሎጂዎች ምንም ድጋፍ የለም.
• የማቀናበር አስቸጋሪነት.

በመጨረሻ አፕ ስካንን ስንጀምር አንድ ሁኔታ አጋጥሞናል፡ የመተግበሪያውን መዳረሻ ለረጅም ጊዜ አንኳኳ፣ 3 መለያዎችን ተቀብለናል እና ተደስተን - በመጨረሻም ሁሉንም ነገር እንፈትሻለን! ፍተሻን ጀመርን እና አፕ ስካን ያደረገው የመጀመሪያው ነገር የአስተዳዳሪ ፓኔል ውስጥ በመግባት ሁሉንም ቁልፎችን ወጋው ፣ ግማሹን ውሂብ ቀይሮ ከዚያ አገልጋዩን በራሱ መግደል ነበር። የፖስታ ፎርም- ጥያቄዎች. ልማት በሙከራ እንዲህ አለ፡-

“ጓዶች፣ እየቀለዳችሁኝ ነው?! እኛ ሒሳቦችን ሰጥተንሃል፣ አንተም ቆመህ!

ሊሆኑ የሚችሉ አደጋዎችን አስቡበት። በሐሳብ ደረጃ፣ የመረጃ ደህንነትን ለመፈተሽ የተለየ አቋም ያዘጋጁ፣ ይህም ቢያንስ በሆነ መንገድ ከሌላው አካባቢ የሚገለል እና የአስተዳዳሪ ፓነልን ሁኔታዊ በሆነ መልኩ ያረጋግጡ፣ በተለይም በእጅ ሁነታ። ይህ ተንኮለኛ ነው - አሁን ያላጤንናቸው የቀሩት የጥረቶች መቶኛ።

ይህንን እንደ ጭነት ሙከራ አናሎግ ሊጠቀሙበት እንደሚችሉ ግምት ውስጥ ማስገባት ተገቢ ነው። በመጀመሪያ ደረጃ, ተለዋዋጭ ስካነርን በ10-15 ክሮች ውስጥ ማብራት እና ምን እንደሚከሰት ማየት ይችላሉ, ነገር ግን ብዙውን ጊዜ, እንደ ልምምድ እንደሚያሳየው, ምንም ጥሩ ነገር የለም.

ብዙ ጊዜ የምንጠቀምባቸው ጥቂት ሀብቶች።

ማጉላት የሚገባው ቡርፕ Suite ለማንኛውም የደህንነት ባለሙያ "የስዊስ ቢላዋ" ነው. ሁሉም ሰው ይጠቀምበታል እና በጣም ምቹ ነው. አዲስ የድርጅት ማሳያ እትም አሁን ተለቋል። ቀደም ሲል ከፕለጊኖች ጋር ለብቻው የሚቆም መገልገያ ከሆነ አሁን ገንቢዎች በመጨረሻ ብዙ ወኪሎችን ማስተዳደር የሚቻልበት ትልቅ አገልጋይ እየሰሩ ነው። ጥሩ ነው፣ እንድትሞክሩት እመክራለሁ።

የሂደት ውህደት

ውህደቱ በጣም ጥሩ እና ቀላል ነው- ከተሳካ ጭነት በኋላ ቅኝት ይጀምሩ በቆመበት ላይ ያሉ መተግበሪያዎች እና ከተሳካ የውህደት ሙከራ በኋላ ቅኝት.

ውህደቶቹ ካልሰሩ ወይም ስቲድ እና ​​የማሾፍ ተግባራት ካሉ, ትርጉም የለሽ እና የማይጠቅም ነው - ምንም አይነት ስርዓተ-ጥለት ብንልክ, አገልጋዩ አሁንም ተመሳሳይ ምላሽ ይሰጣል.

• በሐሳብ ደረጃ, የተለየ የሙከራ አግዳሚ ወንበር.
• ከመሞከርዎ በፊት, የመግቢያውን ቅደም ተከተል ይጻፉ.
• የአስተዳደር ስርዓቱን መሞከር በእጅ ብቻ ነው.

ሂደት

ስለ ሂደቱ በአጠቃላይ እና ስለ እያንዳንዱ መሳሪያ ስራ በተለይም ስለ ሂደቱ ትንሽ አጠቃላይ. ሁሉም አፕሊኬሽኖች የተለያዩ ናቸው - አንዱ በተለዋዋጭ ትንተና የተሻለ ይሰራል፣ሌላኛው በስታቲስቲክስ ትንተና፣ ሶስተኛው በOpenSource ትንተና፣ፔንስትስ ወይም በአጠቃላይ ሌላ ነገር ለምሳሌ ክስተቶች ጋር ዋፍ.

እያንዳንዱን ሂደት መቆጣጠር ያስፈልጋል.

የአሰራር ሂደቱ እንዴት እንደሚሰራ እና የት እንደሚሻሻል ለመረዳት የምርት መለኪያዎችን, ከመሳሪያዎች እና ጉድለት መከታተያዎችን ጨምሮ, በእጅዎ ሊያገኙ ከሚችሉት ነገሮች ሁሉ መለኪያዎችን መሰብሰብ ያስፈልግዎታል.

ማንኛውም መረጃ አጋዥ ነው። ይህ ወይም ያ መሳሪያ በተሻለ ሁኔታ ጥቅም ላይ በሚውልበት ቦታ ላይ በተለያዩ ክፍሎች ውስጥ መመልከት ያስፈልጋል, ይህም ሂደቱ በተለይ እየቀነሰ ይሄዳል. በጊዜ ላይ ተመስርቶ ሂደቱን የት ማሻሻል እንዳለበት ለማየት የልማት ምላሽ ጊዜን መመልከት ጠቃሚ ሊሆን ይችላል. ብዙ ውሂቦች, ብዙ መቆራረጦች ከላይኛው ደረጃ ወደ እያንዳንዱ ሂደት ዝርዝሮች ሊገነቡ ይችላሉ.

ሁሉም የማይለዋወጥ እና ተለዋዋጭ ተንታኞች የራሳቸው ኤፒአይዎች ስላሏቸው ፣የራሳቸው የማስጀመሪያ ዘዴዎች ፣መርሆች ፣አንዳንዶቹ መርሐግብር አውጪዎች አሏቸው ፣ሌሎችም የላቸውም - መሳሪያ እየጻፍን ነው። AppSec ኦርኬስትራ, ይህም ከምርቱ ወደ አጠቃላይ ሂደቱ አንድ ነጠላ የመግቢያ ነጥብ እንዲያደርጉ እና ከአንድ ነጥብ እንዲያስተዳድሩ ያስችልዎታል.

አስተዳዳሪዎች፣ ገንቢዎች እና የደህንነት መሐንዲሶች ምን እየሰራ እንደሆነ ማየት፣ ማዋቀር እና ፍተሻን ማካሄድ፣ የፍተሻ ውጤቶችን ማግኘት እና መስፈርቶችን ማስገባት የሚችሉበት አንድ የመግቢያ ነጥብ አላቸው። ከወረቀት ለመራቅ፣ ሁሉንም ነገር ልማት ወደሚጠቀምበት ሰው ለመተርጎም እንሞክራለን - ገፆች Confluence with status and metrics፣ በጂራ ውስጥ ያሉ ጉድለቶች ወይም በተለያዩ ጉድለቶች መከታተያዎች ውስጥ ወይም በCI/ሲዲ ውስጥ ወደተመሳሰለ/ተመሳሰል ሂደት ውስጥ መክተት።

ቁልፍ Takeaways

መሳሪያዎቹ ምንም አይደሉም. በመጀመሪያ ሂደቱን ያስቡ, ከዚያም መሳሪያዎቹን ይተግብሩ. መሳሪያዎቹ ጥሩ ናቸው፣ ግን ውድ ናቸው፣ ስለዚህ በሂደቱ መጀመር እና በልማት እና ደህንነት መካከል ያለውን መስተጋብር እና መረዳትን ማስተካከል ይችላሉ። ከደህንነት አንጻር ሁሉንም ነገር በተከታታይ "ማቆም" አያስፈልግም ከዕድገት አንጻር ሲታይ, ከፍተኛ ሜጋ እጅግ በጣም ወሳኝ የሆነ ነገር ካለ, ይህ መወገድ አለበት, እና ለችግሩ የተዘጋ አይደለም. .

የምርት ጥራት - የጋራ ግብ ሁለቱም ደህንነት እና ልማት. አንድ ነገር እናደርጋለን, ሁሉም ነገር በትክክል እንዲሠራ እና ምንም ዓይነት መልካም ስም ያላቸው አደጋዎች እና የገንዘብ ኪሳራዎች እንዳይኖሩ ለማድረግ እንሞክራለን. ለዚያም ነው ግንኙነትን ለመፍጠር እና ምርቱን የተሻለ ለማድረግ ወደ DevSecOps, SecDevOps አቀራረብን የምናስተዋውቀው.

ቀድሞውኑ ባለው ነገር ይጀምሩመስፈርቶች, አርክቴክቸር, ከፊል ቼኮች, ስልጠናዎች, መመሪያዎች. ሁሉንም ልምዶች በሁሉም ፕሮጀክቶች ላይ ወዲያውኑ መተግበር አስፈላጊ አይደለም - በተደጋጋሚ መንቀሳቀስ. ነጠላ መስፈርት የለም ሙከራ እና የተለያዩ መንገዶችን እና መፍትሄዎችን ይሞክሩ.

በአይኤስ ጉድለቶች እና በተግባራዊ ጉድለቶች መካከል እኩል ምልክት.

ሁሉንም ነገር በራስ-ሰር ያድርጉየሚንቀሳቀስ ነው። የማይንቀሳቀስ፣ የማይንቀሳቀስ እና በራስ ሰር የማያሰራ ማንኛውም ነገር። አንድ ነገር በእጅ ከተሰራ, ይህ የሂደቱ ጥሩ አካል አይደለም. ምናልባት እንደገና ማጤን እና አውቶማቲክ ማድረግ ጠቃሚ ነው።

የ IB ቡድን መጠኑ ትንሽ ከሆነ - የደህንነት ሻምፒዮናዎችን ይጠቀሙ.

ምናልባት የተናገርኩት ነገር ላይስማማህ እና የራስህ የሆነ ነገር ታመጣለህ - እና ጥሩ ነው። ግን በሂደትዎ መስፈርቶች መሰረት መሳሪያዎችን ይምረጡ. ማህበረሰቡ ይህ መሳሪያ መጥፎ ነው ይሄኛው ደግሞ ጥሩ ነው የሚለውን አትመልከቱ። ምናልባት በምርትዎ ላይ ሌላ መንገድ ሊሆን ይችላል.

የመሳሪያ መስፈርቶች.

• ዝቅተኛ የውሸት አዎንታዊ።
• በቂ ትንታኔ ጊዜ.
• የአጠቃቀም ምቾት.
• ውህደቶች መገኘት.
• የምርት ልማት ፍኖተ ካርታውን መረዳት።
• መሳሪያዎችን የማበጀት ችሎታ.

የዩሪ ዘገባ በDevOpsConf 2018 ውስጥ ካሉት ምርጥ እንደ አንዱ ተመርጧል። ይበልጥ አስደሳች ከሆኑ ሀሳቦች እና ተግባራዊ ጉዳዮች ጋር ለመተዋወቅ በግንቦት 27 እና 28 ወደ Skolkovo ይምጡ። DevOpsConf ውስጥ በዓል RIT ++. እንዲያውም የተሻለ፣ የእርስዎን ተሞክሮ ለማካፈል ፈቃደኛ ከሆኑ፣ ከዚያ ማመልከት እስከ ኤፕሪል 21 ድረስ ሪፖርትዎን ያቅርቡ።

ምንጭ: hab.com