Muna da masu nazarin lambobi 2, kayan aikin gwaji 4 masu ƙarfi, fasahar mu da rubutun 250. Ba wai ana buƙatar duk wannan a cikin tsari na yanzu ba, amma da zarar kun fara aiwatar da DevSecOps, kuna buƙatar zuwa ƙarshen.
. Haruffa da Justin Roiland da Dan Harmon suka kirkira.
Menene SecDevOps? Me game da DevSecOps? Menene bambance-bambancen? Tsaro na Aikace-aikacen - menene game da shi? Me yasa tsarin al'ada baya aiki kuma? Duk waɗannan tambayoyin sun san amsar Yuri Shabalin daga Tsaron Swordfish. Yuriy zai amsa komai daki-daki kuma yayi nazarin matsalolin sauyawa daga tsarin tsaro na aikace-aikacen gargajiya zuwa tsarin DevSecOps: yadda za a kusanci haɗin kai na amintaccen tsarin ci gaba a cikin tsarin DevOps kuma ba karya komai ba, yadda za a shiga cikin manyan matakai. na gwajin tsaro, irin kayan aikin da za a iya amfani da su, yadda za a bambanta su da yadda za a daidaita su yadda ya kamata don guje wa tarko.
Game da mai magana: Yuri Shabalin - Chief Security Architect a cikin kamfanin Tsaron Swordfish. Mai alhakin aiwatar da SSDL, don haɗakar da kayan aikin nazarin aikace-aikacen gabaɗaya a cikin ci gaba guda ɗaya da yanayin gwaji. 7 shekaru gwaninta a cikin tsaro bayanai. Ya yi aiki a Alfa-Bank, Sberbank da fasaha mai kyau, wanda ke haɓaka software da samar da ayyuka. Kakakin taron kasa da kasa ZerONights, PHDays, RISSPA, OWASP.
Tsaron Aikace-aikacen: menene game da shi?
Tsaro na Aikace-aikacen shine sashin tsaro wanda ke da alhakin tsaron aikace-aikacen. Wannan ba game da ababen more rayuwa ko tsaro na cibiyar sadarwa ba ne, amma game da abin da muke rubutawa da abin da masu haɓaka ke aiki a kai - waɗannan su ne lahani da lahani na aikace-aikacen kanta.
Jagora - Zaman ci gaban tsaro - Microsoft ya haɓaka. Hoton yana nuna samfurin SDLC na canonical, babban aikin wanda shine sa hannu na tsaro a kowane mataki na ci gaba, daga buƙatun, don saki da saki zuwa samarwa. Microsoft ya gane cewa akwai kurakurai da yawa a cikin prom, akwai ƙarin su kuma akwai wani abu da ya kamata a yi game da shi, kuma sun ba da shawarar wannan hanyar, wanda ya zama canonical.
Tsaro na Aikace-aikacen da SSDL ba su da nufin gano lahani, kamar yadda aka yi imani da su, amma don hana faruwarsu. A tsawon lokaci, tsarin canonical daga Microsoft ya inganta, haɓakawa, yana da zurfin zurfin nutsewa.
SDLC na canonical yana da cikakkun bayanai a cikin hanyoyi daban-daban - OpenSAMM, BSIMM, OWASP. Hanyoyin sun bambanta, amma gabaɗaya suna kama da juna.
Tsaron Gina A Tsarin Balaga
Na fi son shi BSIMM - . Tushen hanyar shine rarrabuwar tsarin Tsaron Aikace-aikacen zuwa yankuna 4: Mulki, Intelligence, SSDL Touchpoints da Aiwatar da su. Kowane yanki yana da ayyuka 12, waɗanda aka wakilta azaman ayyuka 112.
Kowane ɗayan ayyukan 112 yana da 3 matakan balaga: mafari, matsakaita da ci gaba. Kuna iya nazarin duk ayyuka 12 a cikin sassan, zaɓi abubuwan da suke da mahimmanci a gare ku, gano yadda za ku aiwatar da su kuma ku ƙara abubuwa a hankali, misali, ƙididdiga da ƙididdiga na ƙididdiga ko nazari na lamba. Kuna tsara tsari kuma kuyi aiki bisa ga natsuwa a matsayin wani ɓangare na aiwatar da ayyukan da aka zaɓa.
Me yasa DevSecOps
DevOps gabaɗaya babban tsari ne wanda yakamata a kula da tsaro.
Asali ya shafi binciken tsaro. A aikace, yawan ƙungiyoyin tsaro sun fi ƙanƙanta fiye da yanzu, kuma ba su yi aiki a matsayin masu shiga cikin tsari ba, amma a matsayin ƙungiya mai kulawa da kulawa wanda ke yin buƙatu akan shi kuma yana duba ingancin samfurin a ƙarshen sakin. Wannan hanya ce ta al'ada wacce ƙungiyoyin tsaro ke bayan bango daga ci gaba kuma ba su shiga cikin tsarin ba.
Babban matsalar ita ce tsaro bayanan ya bambanta da ci gaba. Yawancin lokaci wannan wani nau'in IB ne kuma yana dauke da manyan kayan aiki 2-3 masu tsada. Sau ɗaya kowane wata shida, lambar tushe ko aikace-aikacen tana zuwa don gwadawa, kuma sau ɗaya a shekara . Duk wannan yana haifar da gaskiyar cewa kwanakin saki na masana'antu sun jinkirta, kuma adadi mai yawa na lahani daga kayan aiki na atomatik sun fadi akan mai haɓakawa. Ba zai yuwu a sake hadawa da gyara duk wannan ba, domin ko a cikin watanni shida da suka gabata ba a rushe sakamakon ba, kuma ga wani sabon tsari.
A cikin aiwatar da ayyukan kamfaninmu, mun ga cewa tsaro a duk fannoni da masana'antu sun fahimci cewa lokaci ya yi da za a kama da kuma ci gaba da ci gaba a cikin dabaran guda ɗaya - a cikin. . Tsarin DevSecOps ya dace daidai cikin hanyoyin haɓaka agile, aiwatarwa, goyan baya, da shiga cikin kowane saki da maimaitawa.
Juyawa zuwa DevSecOps
Kalma mafi mahimmanci a cikin Rayuwar Ci gaban Tsaro shine "tsari". Kuna buƙatar fahimtar wannan kafin yin tunanin siyan kayan aiki.
Kawai haɗa kayan aiki a cikin tsarin DevOps bai isa ba - sadarwa da fahimta tsakanin mahalarta tsari yana da mahimmanci.
Mutane sun fi kayan aiki mahimmanci
Sau da yawa tsara ingantaccen tsarin ci gaba yana farawa tare da zabar da siyan kayan aiki, kuma yana ƙarewa tare da ƙoƙarin haɗa kayan aiki cikin tsari na yanzu, wanda ya kasance ƙoƙari. Wannan yana haifar da sakamako mai ban tausayi, saboda duk kayan aikin suna da halaye da iyakoki.
Wani lamari na kowa shine lokacin da sashen tsaro ya zaɓi kayan aiki mai kyau, mai tsada tare da nau'i mai yawa kuma ya zo ga masu haɓakawa don gina shi a cikin tsari. Amma ba ya aiki - an tsara tsarin ta yadda iyakokin kayan aikin da aka riga aka saya ba su dace da yanayin yanzu ba.
Na farko, bayyana sakamakon da kuke so da kuma yadda tsarin zai kasance. Wannan zai taimaka wajen fahimtar matsayin kayan aiki da tsaro a cikin tsari.
Fara da abin da aka riga aka yi amfani da shi
Kafin siyan kayan aiki masu tsada, duba abin da kuke da shi. Kowane kamfani yana da buƙatun tsaro waɗanda suka shafi haɓakawa, akwai cak, ƙididdiga - me yasa ba za a canza duk wannan zuwa nau'i mai fahimta da dacewa ga kowa ba?
Yawanci buƙatun shine takarda Talmud wanda ke kwance akan shiryayye. Akwai wani lamari lokacin da muka zo kamfanin don duba tsarin kuma mu tambaye su su nuna bukatun tsaro na software. Kwararren wanda ya yi haka ya daɗe yana neman:
- Yanzu, wani wuri a cikin bayanin kula akwai wata hanya inda wannan takarda ta ta'allaka.
A sakamakon haka, mun sami takardar bayan mako guda.
Don buƙatu, cak da ƙari, ƙirƙirar shafi, misali a Ruɗani - ya dace da kowa.
Yana da sauƙi don sake fasalin abin da ke can kuma amfani da shi don farawa.
Yi amfani da Zakarun Tsaro
Yawancin lokaci, a cikin matsakaicin kamfani na masu haɓaka 100-200, akwai jami'in tsaro guda ɗaya wanda ke yin ayyuka da yawa kuma ba shi da lokaci don bincika komai. Ko da ya yi iya ƙoƙarinsa, shi kaɗai ba zai bincika duk lambar da ci gaban ya haifar ba. Don irin waɗannan lokuta, an haɓaka ra'ayi - .
Champions Champions mutum ne a cikin ƙungiyar haɓakawa wanda ke sha'awar amincin samfuran ku.
Champion na tsaro shine hanyar shiga ga ƙungiyar ci gaba da mai wa'azin tsaro duk an mirgine su ɗaya.
Yawancin lokaci, lokacin da jami'in tsaro ya zo ga ƙungiyar ci gaba kuma ya nuna kuskure a cikin lambar, ya sami amsa mai ban mamaki:
- Kuma wanene kai? Na gan ku a karon farko. Komai yana da kyau tare da ni - babban abokina ya sanya "yi amfani" akan bitar lambar, muna ci gaba!
Wannan lamari ne na yau da kullun, saboda akwai ƙarin amana ga tsofaffi ko kuma kawai abokan aiki waɗanda mai haɓakawa ke hulɗa da juna koyaushe a wurin aiki da bitar lambar. Idan, maimakon mai gadi, Champion Tsaro ya nuna kuskure da sakamakon, to kalmarsa za ta fi nauyi.
Hakanan, masu haɓakawa sun san lambar su fiye da kowane mai tsaro. Ga mutumin da ke da aƙalla ayyukan 5 a cikin kayan aikin bincike na tsaye, yawanci yana da wahala a tuna duk nuances. Masu gwagwarmayar tsaro sun san samfurin su: abin da ke hulɗa da abin da abin da za a duba da farko - sun fi dacewa.
Don haka la'akari da aiwatar da Zakarun Tsaro da fadada tasirin ƙungiyar tsaro. Ga zakara da kansa, wannan kuma yana da amfani: haɓaka ƙwararrun ƙwararru a cikin sabon filin, faɗaɗa fasahar fasaha, haɓaka fasahar fasaha, ƙwarewar gudanarwa da jagoranci, haɓaka ƙimar kasuwa. Wannan wani bangare ne na injiniyan zamantakewa, "idanunku" a cikin ƙungiyar haɓakawa.
Matakan gwaji
ya ce kashi 20% na kokarin bayar da kashi 80% na sakamakon. Waɗannan 20% ayyuka ne na bincike na aikace-aikace waɗanda zasu iya kuma yakamata a sarrafa su ta atomatik. Misalan irin waɗannan ayyukan sune bincike na tsaye - SAURARA, tsayayyen bincike - DAST и bude tushen iko. Zan ba ku ƙarin bayani game da ayyuka, da kuma game da kayan aiki, waɗanne fasalolin da muka saba fuskanta lokacin da aka gabatar da su cikin tsari, da yadda ake yin shi daidai.
Babban matsalolin kayan aiki
Zan haskaka matsalolin da suka dace da duk kayan aikin da ke buƙatar kulawa. Zan yi nazarin su dalla-dalla don kada in kara maimaitawa.
Dogon bincike lokaci. Idan ya ɗauki mintuna 30 don duk gwaje-gwaje da taro daga ƙaddamarwa don fitarwa don samarwa, to, binciken tsaro na bayanai zai ɗauki kwana ɗaya. Don haka babu wanda zai sassauta tsarin. Yi la'akari da wannan fasalin kuma ku yanke shawara.
Babban Karya Negative ko Ƙarya Mai Kyau. Duk samfuran sun bambanta, duk suna amfani da tsarin tsari daban-daban da salon coding nasu. A kan tushe da fasaha daban-daban, kayan aikin na iya nuna matakan daban-daban na Ƙarya mara kyau da Ƙarya mai kyau. Don haka ga abin da ke ciki naku kamfanoni da kuma ga na ku aikace-aikacen za su nuna sakamako mai kyau kuma abin dogara.
Babu haɗin kai tare da kayan aikin da ake dasu. Dubi kayan aikin dangane da haɗin kai tare da abin da kuka riga kuka yi amfani da su. Misali, idan kuna da Jenkins ko TeamCity, bincika haɗin kayan aikin tare da wannan software, ba tare da GitLab CI ba, waɗanda ba ku amfani da su.
Rashin ko wuce haddi na gyare-gyare. Idan kayan aikin ba shi da API, to me yasa ake buƙata? Duk abin da za a iya yi a cikin dubawa ya kamata a samu ta hanyar API. Da kyau, kayan aiki ya kamata ya sami ikon tsara cak.
Babu taswirar ci gaban samfur. Ci gaba baya tsayawa har yanzu, koyaushe muna amfani da sabbin tsare-tsare da ayyuka, muna sake rubuta tsohuwar lamba cikin sabbin harsuna. Muna son tabbatar da cewa kayan aikin da muke saya za su goyi bayan sabbin tsare-tsare da fasaha. Saboda haka, yana da mahimmanci a san cewa samfurin yana da gaske kuma daidai ci gaba.
Fasali na aiwatarwa
Baya ga fasalin kayan aikin, la'akari da fasalin tsarin ci gaba. Misali, tsoma baki tare da ci gaba kuskure ne. Bari mu ga abubuwan da ya kamata a yi la'akari da su da abin da ƙungiyar tsaro ya kamata su kula.
Domin kada ya rushe ci gaba da saki kwanakin ƙarshe, ƙirƙira dokoki daban-daban kuma daban-daban nuna masu tsayawa - ma'auni don dakatar da aikin ginin a gaban rashin lahani - don yanayi daban-daban. Misali, mun fahimci cewa reshe na yanzu yana zuwa wurin ci gaba ko UAT, don haka ba mu tsaya mu ce:
- Kuna da rauni a nan, ba za ku ƙara zuwa ko'ina ba!
A wannan lokaci, yana da mahimmanci a gaya wa masu haɓakawa cewa akwai matsalolin tsaro da za su duba.
Kasancewar rashin ƙarfi ba shi ne wani shinge ga ƙarin gwaji ba: manual, hadewa ko manual. A daya hannun, muna bukatar ko ta yaya inganta tsaro na samfurin, da kuma cewa developers ba su ci a kan abin da tsaro samu. Sabili da haka, wani lokacin muna yin haka: a tsaye, lokacin da ya tashi zuwa yanayin ci gaba, kawai muna sanar da ci gaban:
- Guys, kuna da matsaloli, don Allah ku kula da su.
A matakin UAT, mun sake nuna gargaɗi game da raunin da ya faru, kuma a matakin fita a cikin prom muna cewa:
"Mutane, mun yi muku gargadi sau da yawa, ba ku yi komai ba - ba za mu bar ku da wannan ba.
Idan muka yi magana game da lamba da kuzari, to ya zama dole a nuna da gargaɗi game da raunin kawai na waɗannan fasalulluka da lambar da aka rubuta kawai a cikin wannan fasalin. Idan mai haɓakawa ya motsa maɓallin ta 3 pixels kuma mun gaya masa cewa yana da allurar SQL a can don haka yana buƙatar gyara cikin gaggawa, wannan ba daidai ba ne. Dubi abin da aka rubuta kawai, da kuma canjin da ya zo ga aikace-aikacen.
Bari mu ce muna da wasu lahani na aiki - hanyar da aikace-aikacen bai kamata ya yi aiki ba: ba a canja wurin kuɗi ba, lokacin da kuka danna maɓallin, babu wani canji zuwa shafi na gaba, ko samfurin ba ya ɗauka. Rashin Tsaro - Waɗannan lahani iri ɗaya ne, amma ba a cikin mahallin aikace-aikacen ba, amma tsaro.
Ba duk lamuran ingancin software ba ne matsalolin tsaro. Amma duk matsalolin tsaro suna da alaƙa da ingancin software. Sherif Mansour, Expedia.
Tunda duk lahani iri ɗaya ne, yakamata a kasance a wuri ɗaya da duk lahani na ci gaba. Don haka manta game da rahotanni da PDFs masu ban tsoro waɗanda ba wanda ya karanta.
Lokacin da nake aiki da kamfani na ci gaba, na sami rahoto daga kayan aikin bincike na tsaye. Na bude, na firgita, na hada kofi, na watsa ta shafi 350, na rufe na ci gaba da aiki. Manyan rahotanni matattu rahotanni ne. Yawancin lokaci ba sa zuwa ko'ina, imel ɗin yana gogewa, mantawa, ɓacewa, ko kasuwancin ya ce yana yin kasada.
Me za a yi? Mu kawai muna canza lahani da aka tabbatar waɗanda muka samo su zama nau'i mai dacewa don haɓakawa, alal misali, ƙara shi zuwa bayanan baya a Jira. An ba da fifiko da kuma kawar da lahani bisa ga fifiko tare da lahani na aiki da lahani na gwaji.
Nazari a tsaye - SAST
Wannan bincike ne na lamba don raunin rauni., amma ba daya bane da SonarQube. Muna bincika ba kawai don alamu ko salo ba. Binciken yana amfani da hanyoyi da yawa: ta itace mai rauni, ta , ta hanyar nazarin fayilolin sanyi. Shi ke nan don lambar kanta.
Ribobi na hanya: gano lahani a cikin lambar a farkon matakin ci gabalokacin da babu tsayawa da shirye-shiryen kayan aikin, da ƙara iya dubawa: yana duba wani sashe na code wanda ya canza, kuma kawai fasalin da muke yi a halin yanzu, wanda ke rage lokacin dubawa.
Минусы shine rashin tallafi ga harsunan da ake buƙata.
Haɗin kai da ake buƙata, wanda ya kamata ya kasance a cikin kayan aikin, a ra'ayi na ra'ayi:
- Kayan aikin haɗin kai: Jenkins, TeamCity da Gitlab CI.
- Yanayin haɓakawa: Intellij IDEA, Kayayyakin Kayayyakin Kayayyakin. Ya fi dacewa ga mai haɓakawa kada ya hau cikin ƙirar da ba za a iya fahimta ba wanda har yanzu yana buƙatar tunawa, amma don ganin duk haɗin kai da rashin lafiyar da ya samu daidai a wurin aiki a cikin yanayin ci gaban kansa.
- Bita na lamba: SonarQube da bita na hannu.
- Lalacewar trackers: Jira da Bugzilla.
Hoton yana nuna wasu daga cikin mafi kyawun wakilai na bincike na tsaye.
Ba kayan aikin ba ne ke da mahimmanci, amma tsarin, don haka akwai hanyoyin magance Open Source waɗanda suma suna da kyau don gudanar da aikin.
SAST Open Source ba zai sami adadi mai yawa na lahani ko hadaddun DataFlow ba, amma suna iya kuma yakamata a yi amfani da su yayin gina tsari. Suna taimakawa wajen fahimtar yadda za a gina tsarin, wanda zai amsa kwari, wanda zai bayar da rahoto, wanda zai bayar da rahoto. Idan kuna son aiwatar da matakin farko na gina amincin lambar ku, yi amfani da hanyoyin buɗe tushen tushen.
Ta yaya za a iya haɗa wannan idan kun kasance a farkon tafiya, ba ku da komai: ba CI, ko Jenkins, ko TeamCity? Yi la'akari da haɗin kai.
Haɗin kai a matakin CVS
Idan kuna da Bitbucket ko GitLab, zaku iya yin haɗin kai a matakin .
Ta hanyar aukuwa ja roƙon, aikata. Kuna duba lambar kuma ku nuna a cikin halin ginin cewa binciken tsaro ya wuce ko ya kasa.
Bayani. Tabbas, ana buƙatar martani koyaushe. Idan kawai ka yi shi a bangaren tsaro, sanya shi a cikin akwati kuma ba ka gaya wa kowa komai game da shi ba, sannan ka zubar da gungun kwari a karshen wata, wannan ba daidai ba ne kuma ba shi da kyau.
Haɗin kai tare da tsarin duba lambar
Da zarar, mun saita mai amfani da fasaha na AppSec a matsayin tsoho mai bita a cikin wasu mahimman ayyuka. Dangane da ko an sami kurakurai a cikin sabon lambar ko babu kurakurai, mai bita ya sanya matsayi a kan buƙatun ja don "karɓa" ko "buƙatar aiki" - ko dai komai yana da kyau, ko kuna buƙatar kammalawa da haɗi zuwa menene daidai. don kammalawa. Don haɗawa da sigar da ake fitarwa, mun hana haɗakarwa idan ba a ci gwajin IS ba. Mun haɗa wannan a cikin bita na lambar jagora, kuma sauran mahalarta aikin sun ga matakan tsaro na wannan takamaiman tsari.
Haɗin kai tare da SonarQube
Mutane da yawa suna da dangane da ingancin code. Haka yake anan - zaku iya yin ƙofofin iri ɗaya kawai don kayan aikin SAST. Za a yi masarrafa iri ɗaya, kofa mai inganci iri ɗaya, ita kaɗai za a kira ta kofar tsaro. Hakanan, idan kuna da tsari da aka saita ta amfani da SonarQube, zaku iya haɗa komai a wurin cikin sauƙi.
Haɗin kai a matakin CI
Anan, kuma, komai mai sauƙi ne:
- Daidai da autotests, gwajin naúrar.
- Rarraba ta matakan ci gaba: dev, gwaji, prod. Za a iya haɗa nau'i-nau'i na dokoki daban-daban, ko yanayi daban-daban na kasawa: muna dakatar da taron, ba ma dakatar da taron ba.
- Fara aiki tare / asynchronous farawa. Muna jiran ƙarshen gwajin tsaro ko ba ma jira. Wato mun kaddamar da su ne muka ci gaba, sannan muka samu matsayin cewa komai na da kyau ko mara kyau.
Yana cikin cikakkiyar duniyar ruwan hoda. A rayuwa ta gaske, ba haka lamarin yake ba, amma muna ƙoƙari. Sakamakon yin cak ɗin tsaro yakamata yayi kama da sakamakon gwaje-gwajen naúrar.
Misali, mun ɗauki babban aikin kuma mun yanke shawarar cewa yanzu za mu bincika shi tare da SAST - Ok. Mun tura wannan aikin zuwa SAST, ya ba mu lahani 20, kuma mun yanke shawara mai ƙarfi cewa komai yana lafiya. Lalacewar 000 shine bashin fasaha na mu. Za mu sanya bashin a cikin akwati, za mu yi ta da hankali a hankali kuma mu fara kwari a cikin masu bin diddigin lahani. Hayar kamfani, yi duk abin da kanmu, ko samun Zakarun Tsaro na taimaka mana, kuma bashin fasaha zai ragu.
Kuma duk sabbin rashin lahani da ke bayyana a cikin sabuwar lambar yakamata a kawar da su ta hanya ɗaya da kurakurai a cikin naúra ko a cikin gwaji. Dangantaka dai, majalisar ta fara, ta tuka mota, gwaje-gwaje biyu da na tsaro biyu suka fadi. Ok, mun tafi, muka kalli abin da ya faru, gyara daya, gyara na biyu, tuki na gaba - komai yana da kyau, babu wani sabon rauni da ya bayyana, gwaje-gwajen ba su fadi ba. Idan wannan aikin ya fi zurfi kuma kuna buƙatar fahimtar shi da kyau, ko gyara raunin da ya faru ya shafi manyan yadudduka na abin da ke ƙarƙashin hood: an kawo bug a cikin maƙallan lahani, an ba shi fifiko da gyarawa. Abin takaici, duniya ba ta cika ba kuma gwaje-gwaje wasu lokuta suna kasawa.
Misalin ƙofar tsaro shine analogue na kofa mai inganci, dangane da kasancewar da adadin lahani a cikin lambar.
Muna haɗawa tare da SonarQube - an shigar da plugin ɗin, duk abin ya dace sosai da sanyi.
Haɗin mahalli na ci gaba
Zaɓuɓɓukan haɗin kai:
- Fara dubawa daga yanayin ci gaba tun kafin ƙaddamarwa.
- Duba sakamakon.
- Binciken sakamako.
- Aiki tare da uwar garken.
Wannan shine yadda samun sakamako daga uwar garken yayi kama.
A cikin yanayin ci gaban mu kawai ya bayyana wani ƙarin abu wanda ya ce an sami irin wannan raunin yayin binciken. Kuna iya shirya lambar nan da nan, duba shawarwari da . Duk wannan yana samuwa a wurin aiki na mai haɓakawa, wanda ya dace sosai - ba buƙatar ku bi sauran hanyoyin haɗin yanar gizo ba kuma ku kalli wani abu mai yawa.
Open Source
Wannan shine batun da na fi so. Kowane mutum yana amfani da ɗakunan karatu na Buɗaɗɗen tushe - me yasa za ku rubuta tarin ƙugiya da kekuna yayin da za ku iya ɗaukar ɗakin karatu da aka ƙera wanda aka riga an aiwatar da komai?
Tabbas, wannan gaskiya ne, amma ɗakin karatu kuma mutane ne ke rubutawa, kuma sun haɗa da wasu haɗari, sannan akwai kuma raunin da ake ba da rahoton lokaci-lokaci, ko kuma akai-akai. Saboda haka, akwai mataki na gaba a cikin Tsaron Aikace-aikacen - wannan shine nazarin abubuwan da aka haɗa da Buɗe tushen.
Buɗe Source Analysis - OSA
Kayan aiki ya ƙunshi manyan matakai guda uku.
Nemo rauni a cikin ɗakunan karatu. Misali, kayan aikin ya san cewa muna amfani da wani nau'in ɗakin karatu, kuma a ciki ko a cikin masu bin diddigin kwaro akwai wasu lahani waɗanda ke da alaƙa da wannan sigar ɗakin karatu. Idan kun yi ƙoƙarin amfani da shi, kayan aikin zai faɗakar da ku cewa ɗakin karatu yana da rauni, kuma yana ba ku shawara ku yi amfani da wani sigar inda babu lahani.
Analysis na tsarkin lasisi. Wannan bai shahara sosai a wurinmu ba tukuna, amma idan kuna aiki tare da wata ƙasa, to a can za ku iya samun hari lokaci-lokaci don amfani da ɓangaren buɗe tushen da ba za a iya amfani da shi ko gyara ba. Bisa ga manufofin ɗakin karatu mai lasisi, ba za mu iya yin wannan ba. Ko, idan mun gyara shi kuma muka yi amfani da shi, dole ne mu sanya lambar mu. Tabbas, babu wanda yake son sanya lambar samfuran samfuran su, amma kuna iya kare kanku daga wannan.
Binciken abubuwan da aka yi amfani da su a cikin yanayin masana'antu. Ka yi la'akari da halin da ake ciki wanda a ƙarshe mun kammala ci gaba kuma mun saki sabon sakin microservice ga masana'antu. Yana rayuwa a can ban mamaki - mako daya, wata, shekara. Ba mu tattara shi, ba ma gudanar da binciken tsaro, komai yana da kyau. Amma ba zato ba tsammani, makonni biyu bayan fitowar, wani mummunan rauni a cikin Bude Source ya fito, wanda muke amfani da shi a cikin wannan taro na musamman, a cikin yanayin masana'antu. Idan ba mu rubuta abin da kuma inda muke amfani da shi ba, to ba za a iya ganin wannan raunin kawai ba. Wasu kayan aikin suna da ikon sa ido kan lahani a cikin ɗakunan karatu waɗanda ake amfani da su a halin yanzu a cikin prom. Yana da matukar amfani.
Ayyukan:
- Manufofi daban-daban don matakai daban-daban na ci gaba.
- Saka idanu abubuwa a cikin yanayin masana'antu.
- Sarrafa dakunan karatu a cikin kwane-kwane na kungiyar.
- Taimako don tsarin gini daban-daban da harsuna.
- Binciken Hotunan Docker.
Misalai kaɗan na shugabanni a fagen waɗanda suka tsunduma cikin nazarin Buɗaɗɗen Source.
Kyauta ce kawai daga OWASP. Kuna iya kunna shi a matakin farko, duba yadda yake aiki da abin da yake tallafawa. Ainihin, waɗannan duk samfuran girgije ne, ko kan-gida, amma a bayan tushen su har yanzu suna zuwa Intanet. Ba su aika da dakunan karatu ba, amma hashes ko ƙimar su waɗanda suke ƙididdigewa, da tambarin yatsa zuwa uwar garken su don samun labarai na rashin lahani.
Haɗin Tsari
Ikon ɗakin karatu na kewayewaɗanda ake zazzagewa daga kafofin waje. Muna da wuraren ajiya na waje da na ciki. Misali, muna da Nexus a cikin Event Central, kuma muna son tabbatar da cewa babu lahani tare da matsayi "mafi mahimmanci" ko "high" a cikin ma'ajiyar mu. Kuna iya saita proxying ta amfani da kayan aikin Nexus Firewall Lifecycle don a yanke irin wannan lahani kuma ba a haɗa su cikin ma'ajiyar ciki ba.
CI hadewa. A kan wannan matakin tare da autotests, gwajin naúrar da rarraba zuwa matakan haɓakawa: dev, gwaji, prod. A kowane mataki, zaka iya sauke kowane ɗakin karatu, amfani da wani abu, amma idan akwai wani abu mai wuyar gaske tare da matsayi na "mahimmanci", tabbas ya kamata ka jawo hankalin masu haɓakawa zuwa wannan mataki na shigar da prom.
Haɗin kai kayan tarihi: Nexus da JFrog.
Haɗin kai cikin yanayin ci gaba. Kayan aikin da kuka zaɓa yakamata su kasance da haɗin kai tare da yanayin ci gaba. Dole ne mai haɓakawa ya sami damar yin amfani da sakamakon binciken daga wurin aikinsa, ko kuma ikon dubawa da duba lambar don lahani kafin aikata ta a CVS.
CD hadewa. Wannan siffa ce mai kyau da nake so da gaske kuma na riga na yi magana game da ita - sa ido kan bullar sabbin lahani a cikin yanayin masana'antu. Yana aiki kamar haka.
Muna da Ma'ajiyar Bangaren Jama'a - wasu kayan aikin waje, da ma'ajiyar mu ta ciki. Muna son abubuwan da aka dogara kawai su kasance a ciki. Lokacin da muke ba da buƙata, muna bincika cewa ɗakin karatu da aka zazzage ba shi da lahani. Idan ya faɗi ƙarƙashin wasu manufofin da muka saita kuma dole ne mu daidaita tare da haɓakawa, to ba za mu loda shi ba kuma ƙima ya zo don amfani da wani nau'i na daban. Sabili da haka, idan akwai wani abu mai mahimmanci da mara kyau a cikin ɗakin karatu, to, mai haɓaka ba zai karbi ɗakin karatu ba ko da a matakin shigarwa - bari ya yi amfani da sigar mafi girma ko ƙasa.
- Lokacin ginawa, muna bincika cewa babu wanda ya zame wani abu mara kyau, cewa duk abubuwan da aka gyara suna da lafiya kuma babu wanda ya kawo wani abu mai haɗari akan faifan filasha.
- Mu kawai muna da abubuwan da aka amince da su a cikin ma'ajiyar.
- Lokacin turawa, muna sake duba kunshin kanta: yaƙi, jar, DL ko hoton Docker don gaskiyar cewa ya bi ka'ida.
- Lokacin shigar da yanayin masana'antu, muna saka idanu akan abin da ke faruwa a cikin yanayin masana'antu: rashin lahani mai mahimmanci ya bayyana ko bai bayyana ba.
Nazari mai ƙarfi - DAST
Kayan aikin bincike mai ƙarfi sun bambanta da duk abin da aka faɗa a baya. Wannan wani nau'in kwaikwayo ne na aikin mai amfani tare da aikace-aikacen. Idan wannan aikace-aikacen yanar gizo ne, muna aika buƙatun da ke kwaikwayon aikin abokin ciniki, danna maɓallan da ke gaba, aika bayanan wucin gadi daga nau'in: ƙididdiga, brackets, haruffa a cikin ɓoye daban-daban don duba yadda aikace-aikacen ke aiki da aiwatar da waje. bayanai.
Tsarin iri ɗaya yana ba ku damar bincika raunin samfuri a Buɗe Source. Tunda DAST bai san wane Buɗe tushen da muke amfani da shi ba, kawai yana jefa tsarin "masu mugunta" kuma yana nazarin martanin uwar garken:
- Eh, akwai matsalar ɓata lokaci a nan, amma ba a nan ba.
Akwai babban haɗari a cikin wannan, saboda idan kun gudanar da wannan gwajin tsaro a kan irin wannan tsayawar da masu gwadawa ke aiki da su, abubuwa marasa daɗi na iya faruwa.
- Babban kaya akan cibiyar sadarwar uwar garken aikace-aikacen.
- Babu haɗin kai.
- Ikon canza saitunan aikace-aikacen da aka bincika.
- Babu tallafi ga fasahar da ake buƙata.
- Wahalar saitin.
Muna da yanayi lokacin da muka ƙaddamar da AppScan a ƙarshe: mun dakatar da samun damar yin amfani da aikace-aikacen na dogon lokaci, mun karɓi asusu 3 kuma mun yi farin ciki - a ƙarshe, za mu bincika komai! Mun kaddamar da scan, kuma abu na farko da AppScan ya yi shi ne shiga cikin admin panel, soke dukkan maɓallan, canza rabin bayanan, sa'an nan kuma kashe uwar garken gaba ɗaya da nasa. -buƙatun. Ci gaba tare da Gwaji ya ce:
“Maza, kuna wasa dani?! Mun ba ku lissafi, kuma kun sanya tsayawa.
Yi la'akari da yiwuwar haɗari. Da kyau, shirya tsayuwar daban don gwajin amincin bayanan, wanda za'a keɓance shi da sauran mahallin aƙalla ko ta yaya, kuma a duba yanayin gudanarwar, zai fi dacewa a yanayin jagora. Wannan shi ne abin da ya rage - ragowar kashi na ƙoƙarin da ba mu yi la'akari da su a yanzu ba.
Yana da daraja la'akari da cewa za ka iya amfani da wannan a matsayin analogue gwajin load. A mataki na farko, za ka iya kunna na'urar daukar hotan takardu a cikin zaren 10-15 kuma ka ga abin da ya faru, amma yawanci, kamar yadda aikin ya nuna, babu wani abu mai kyau.
ƴan albarkatun da muka saba amfani da su.
Cancantar haskakawa ita ce "wukar Swiss" ga kowane ƙwararren tsaro. Kowa yana amfani da shi kuma yana da dacewa sosai. Yanzu an fitar da sabon sigar demo na bugu na kamfani. Idan a baya kawai mai amfani ne kawai tare da plugins, yanzu masu haɓakawa a ƙarshe suna yin babban sabar wanda daga ciki zai yiwu a sarrafa wakilai da yawa. Yana da kyau, Ina ba da shawarar ku gwada shi.
Haɗin Tsari
Haɗin kai yana da kyau da sauƙi: fara scan bayan nasarar shigarwa aikace-aikace a kan tsayawar da dubawa bayan nasarar gwajin haɗin kai.
Idan haɗin kai bai yi aiki ba ko kuma akwai stubs da ayyukan izgili, ba shi da ma'ana kuma mara amfani - ko da wane nau'in da muka aika, uwar garken zai ci gaba da amsa irin wannan hanya.
- Da kyau, benci na gwaji daban.
- Kafin gwaji, rubuta jerin shiga.
- Gwajin tsarin gudanarwa na hannu ne kawai.
aiwatar
A ɗan taƙaitaccen bayani game da tsari gaba ɗaya da kuma game da aikin kowane kayan aiki, musamman. Duk aikace-aikacen sun bambanta - ɗayan yana aiki mafi kyau tare da bincike mai ƙarfi, wani kuma tare da bincike a tsaye, na uku tare da bincike na OpenSource, pents, ko wani abu gabaɗaya, alal misali, abubuwan da suka faru tare da .
Kowane tsari yana buƙatar sarrafa shi.
Don fahimtar yadda tsarin ke aiki da kuma inda za'a iya inganta shi, kuna buƙatar tattara ma'auni daga duk abin da za ku iya samun hannunku, ciki har da ma'auni na samarwa, ma'auni daga kayan aiki da masu sa ido na lahani.
Duk wani bayani yana da taimako. Wajibi ne a duba a sassa daban-daban a inda aka fi amfani da wannan ko wannan kayan aiki, inda tsarin ke sags musamman. Yana iya zama darajar kallon lokacin amsawar ci gaba don ganin inda za a inganta tsarin bisa lokaci. Ƙarin bayanai, ƙarin raguwa za a iya ginawa daga saman matakin zuwa cikakkun bayanai na kowane tsari.
Tun da duk masu bincike na tsaye da masu tsauri suna da nasu APIs, hanyoyin ƙaddamar da nasu, ƙa'idodi, wasu suna da masu tsara jadawalin, wasu ba sa - muna rubuta kayan aiki AppSec Orchestrator, wanda ke ba ka damar yin hanyar shigarwa guda ɗaya zuwa dukan tsari daga samfurin kuma sarrafa shi daga aya ɗaya.
Manajoji, masu haɓakawa, da injiniyoyin tsaro suna da wurin shigarwa guda ɗaya wanda daga ciki za su iya ganin abin da ke gudana, daidaitawa da gudanar da bincike, samun sakamakon binciken, da ƙaddamar da buƙatu. Muna ƙoƙarin nisantar takarda, fassara komai cikin ɗan adam wanda ci gaba ke amfani da shi - shafuka akan Confluence tare da matsayi da awo, lahani a cikin Jira ko a cikin maɓalli daban-daban, ko sakawa cikin tsarin daidaitawa / asynchronous a cikin CI / CD.
Maɓallin Takeaways
Kayan aikin ba su da mahimmanci. Yi tunani game da tsari da farko, sannan aiwatar da kayan aikin. Kayan aikin suna da kyau, amma tsada, don haka za ku iya farawa tare da tsari kuma ku daidaita ma'amala da fahimta tsakanin ci gaba da tsaro. Ta fuskar tsaro, babu bukatar a “dakatar da” komai a jere, daga mahangar ci gaba, idan akwai wani abu mai girma mega mai matukar muhimmanci, to dole ne a kawar da wannan, kuma ba a rufe ga matsalar ba. .
Ingancin samfur - manufa gama gari tsaro da ci gaba. Muna yin abu ɗaya, muna ƙoƙarin tabbatar da cewa duk abin yana aiki daidai kuma babu haɗarin suna da asarar kuɗi. Abin da ya sa muke haɓaka hanyar zuwa DevSecOps, SecDevOps don kafa sadarwa da inganta samfurin.
Fara da abin da ke can: bukatu, gine-gine, dubawa na yanki, horo, jagororin. Ba lallai ba ne a yi amfani da duk ayyukan nan da nan zuwa duk ayyukan - motsawa akai-akai. Babu ma'auni guda ɗaya gwaji kuma gwada hanyoyi da mafita daban-daban.
Daidaitaccen alamar tsakanin lahani na IS da lahani na aiki.
Mai sarrafa komaiwato motsi. Duk wani abu da baya motsawa, motsawa da sarrafa kansa. Idan aka yi wani abu da hannu, wannan ba wani bangare ne mai kyau na tsarin ba. Wataƙila yana da kyau a sake tunani da sarrafa shi ma.
Idan girman ƙungiyar IB ƙarami ne - amfani da Tsaro Champions.
Wataƙila abin da na yi magana a kai ba zai dace da ku ba kuma za ku fito da wani abu na ku - kuma yana da kyau. Amma zaɓi kayan aikin bisa ga buƙatun tsarin ku. Kada ku kalli abin da al'umma ke cewa wannan kayan aiki mara kyau kuma wannan yana da kyau. Wataƙila zai zama ɗayan hanyar a kan samfurin ku.
Bukatun kayan aiki.
- Ƙarya Mai Kyau.
- Isasshen lokacin bincike.
- Ba da amfani.
- Samun haɗin kai.
- Fahimtar taswirar ci gaban samfur.
- Ikon keɓance kayan aikin.
An zaɓi rahoton Yuriy a matsayin ɗaya daga cikin mafi kyau a DevOpsConf 2018. Don sanin ko da ƙarin ra'ayoyi masu ban sha'awa da lokuta masu amfani, zo Skolkovo a ranar 27 da 28 ga Mayu. ciki . Har ma mafi kyau, idan kuna son raba kwarewar ku, to Gabatar da rahoton ku zuwa Afrilu 21st.
source: www.habr.com