Makau a me ka inaina DevSecOps

Loaʻa iā mākou he 2 code analyzers, 4 dynamic hoʻāʻo mea hana, kā mākou hana ponoʻī a me 250 scripts. ʻAʻole pono kēia i ke kaʻina hana o kēia manawa, akā i ka manawa i hoʻomaka ai ʻoe e hoʻokō DevSecOps, pono ʻoe e hele i ka hopena.

Puna. Nā mea i hana ʻia e Justin Roiland lāua ʻo Dan Harmon.

He aha ka SecDevOps? Pehea e pili ana iā DevSecOps? He aha nā ʻokoʻa? Palekana noi - he aha ia? No ke aha i hana hou ʻole ai ke ʻano kuʻuna? ʻIke kēia mau nīnau a pau i ka pane Yuri Shabalin mai Palekana Swordfish. E pane aku ʻo Yuriy i nā mea āpau i ka kikoʻī a nānā i nā pilikia o ka hoʻololi ʻana mai ke kumu hoʻohālike ʻo Application Security maʻamau i ke kaʻina DevSecOps: pehea e hoʻokokoke pono ai i ka hoʻohui ʻana o ke kaʻina hoʻomohala palekana i ke kaʻina DevOps a ʻaʻole e uhaʻi i kekahi mea, pehea e hele ai i nā pae nui. ʻO ka hoʻāʻo palekana, he aha nā mea hana hiki ke hoʻohana ʻia, pehea e ʻokoʻa ai lākou a pehea e hoʻonohonoho pono ai iā lākou e pale aku i nā pitfalls.

E pili ana i ka mea haʻiʻōlelo: Yuri Shabalin - Luna Hoʻokele Palekana ma ka hui Palekana Swordfish. Ke kuleana no ka hoʻokō ʻana o SSDL, no ka hoʻohui piha ʻana i nā mea hana noiʻi noiʻi i loko o kahi hoʻomohala hoʻokahi a me ka hoʻāʻo ʻana i ka kaiaola. 7 mau makahiki o ka ʻike i ka palekana ʻike. Hana ʻia ma Alfa-Bank, Sberbank a me Positive Technologies, nāna e hoʻomohala i nā polokalamu a hāʻawi i nā lawelawe. Lunamaka'ōlelo o nā hālāwai kūkā honua ZerONights, PHDays, RISSPA, OWASP.

Ka palekana noi: he aha ia mea?

Palekana palapala noi ʻo ia ka ʻāpana palekana i kuleana no ka palekana noi. ʻAʻole kēia e pili ana i ka ʻenehana a i ʻole ka palekana pūnaewele, akā e pili ana i nā mea a mākou e kākau ai a me nā mea e hana ai nā mea hoʻomohala - ʻo ia nā hemahema a me nā nāwaliwali o ka noi ponoʻī.

Loaʻa SDL a i ʻole SDLC - ʻO ke ola hoʻomohala palekana - Kūkulu ʻia e Microsoft. Hōʻike ke kiʻikuhi i ka canonical SDLC model, ʻo ka hana nui ʻo ia ke komo ʻana o ka palekana i kēlā me kēia pae o ka hoʻomohala ʻana, mai nā koi, e hoʻokuʻu a hoʻokuʻu i ka hana. Ua ʻike ʻo Microsoft he nui loa nā pōpoki i ka prom, ʻoi aku ka nui o lākou a pono e hana ʻia kekahi mea e pili ana iā ia, a ua noi lākou i kēia ala, i lilo i canonical.

ʻAʻole i manaʻo ʻia ka Security Security a me SSDL i ka ʻike ʻana i nā nāwaliwali, e like me ka mea maʻamau, akā i ka pale ʻana i ko lākou hanana. I ka hala ʻana o ka manawa, ua hoʻomaikaʻi ʻia ka ʻaoʻao canonical mai Microsoft, ua hoʻomohala ʻia, ua loaʻa kahi hohonu hohonu hohonu.

ʻO ka canonical SDLC kahi kikoʻī loa i nā ʻano hana like ʻole - OpenSAMM, BSIMM, OWASP. He ʻokoʻa nā ʻano hana, akā like ka maʻamau.

Palekana hale ma ke kumu hoʻohālike

Makemake au ia BSIMM - Palekana hale ma ke kumu hoʻohālike. ʻO ke kumu o ke kaʻina hana ʻo ia ka mahele o ke kaʻina noi palekana i 4 mau kikowaena: Governance, Intelligence, SSDL Touchpoints and Deployment. Loaʻa i kēlā me kēia kahua he 12 mau hana, i hōʻike ʻia he 112 mau hana.

Loaʻa i kēlā me kēia o nā hana 112 3 pae oo: hoʻomaka, waena a holomua. Hiki iā ʻoe ke aʻo i nā hana 12 āpau ma nā ʻāpana, koho i nā mea nui iā ʻoe, e noʻonoʻo pehea e hoʻokō ai a hoʻohui mālie i nā mea, no ka laʻana, static and dynamic code analysis a i ʻole loiloi code. Hoʻolālā ʻoe i kahi hoʻolālā a hana e like me ia me ka mālie ma ke ʻano o ka hoʻokō ʻana i nā hana i koho ʻia.

No ke aha ʻo DevSecOps

ʻO DevOps kahi kaʻina hana nui e pono ai e mālama pono i ka palekana.

I ka hoʻomaka Nā DevOps pili i nā nānā palekana. Ma ka hoʻomaʻamaʻa, ʻoi aku ka liʻiliʻi o ka nui o nā pūʻulu palekana ma mua o kēia manawa, a ʻaʻole lākou i hana ma ke ʻano he poʻe komo i ke kaʻina hana, akā ma ke ʻano he kino hoʻomalu a me ka nānā ʻana e koi ana iā ia a nānā i ka maikaʻi o ka huahana i ka hopena o ka hoʻokuʻu. He ala maʻamau kēia i noho ai nā hui palekana ma hope o ka pā mai ka hoʻomohala ʻana a ʻaʻole i komo i ke kaʻina hana.

ʻO ka pilikia nui ke kaʻawale ka palekana ʻike mai ka hoʻomohala ʻana. ʻO ka maʻamau kēia ʻano kaapuni IB a loaʻa iā 2-3 mau mea hana nui a pipiʻi. Hoʻokahi manawa i kēlā me kēia ʻeono mahina, hiki mai ke kumu kumu a i ʻole ka noi e hoʻāʻo ʻia, a hoʻokahi manawa i ka makahiki Pentests. Ke alakaʻi nei kēia mau mea i ka mea i hoʻokuʻu ʻia nā lā hoʻokuʻu no ka ʻoihana, a hāʻule ka nui o nā nāwaliwali mai nā mea hana automated i ka mea hoʻomohala. ʻAʻole hiki ke wehe a hoʻoponopono i kēia mau mea a pau, no ka mea, i loko o nā mahina ʻeono i hala iho nei ʻaʻole i hoʻopau ʻia nā hopena, a eia kahi pūʻulu hou.

Ma ka hana o kā mākou hui, ʻike mākou i ka palekana ma nā wahi āpau a me nā ʻoihana e hoʻomaopopo ʻo ia ka manawa e hopu ai a wili me ka hoʻomohala ʻana i ka huila hoʻokahi - ma 'O'Agile. Ua kūpono ka DevSecOps paradigm i ke ʻano hoʻomohala agile, hoʻokō, kākoʻo, a me ke komo ʻana i kēlā me kēia hoʻokuʻu ʻana a me ka ʻike.

Hoʻololi i DevSecOps

ʻO ka ʻōlelo koʻikoʻi ma ka Security Development Lifecycle ʻo ia "kaʻina hana". Pono ʻoe e hoʻomaopopo i kēia ma mua o ka noʻonoʻo ʻana i ke kūʻai ʻana i nā mea hana.

ʻAʻole lawa ka hoʻokomo ʻana i nā mea hana i ke kaʻina DevOps - he mea nui ka kamaʻilio a me ka ʻike ma waena o nā mea komo.

ʻOi aku ka nui o nā kānaka ma mua o nā mea hana

Hoʻomaka pinepine ka hoʻolālā ʻana i kahi kaʻina hoʻomohala palekana me ke koho a kūʻai ʻana i kahi mea hana, a hoʻopau me ka hoʻāʻo ʻana e hoʻohui i ka mea hana i loko o ke kaʻina hana o kēia manawa, e mau ana nā hoʻāʻo. Ke alakaʻi nei kēia i nā hopena kaumaha, no ka mea, aia nā mea hana a pau i ko lākou mau hiʻohiʻona a me nā palena.

ʻO kahi hihia maʻamau i ka wā i koho ai ke keʻena palekana i kahi mea hana maikaʻi a maikaʻi me ka nui o nā hiʻohiʻona a hele mai i nā mea hoʻomohala e kūkulu iā ia i ke kaʻina hana. Akā ʻaʻole pono - ua hoʻolālā ʻia ke kaʻina hana i ke ʻano o nā palena o kahi mea i kūʻai mua ʻia ʻaʻole kūpono i ka paradigm o kēia manawa.

ʻO ka mea mua, e wehewehe i ka hopena āu e makemake ai a me ke ʻano o ke kaʻina hana. E kōkua kēia i ka hoʻomaopopo ʻana i nā kuleana o ka mea hana a me ka palekana i ke kaʻina hana.

E hoʻomaka me ka mea i hoʻohana ʻia

Ma mua o kou kūʻai ʻana i nā mea hana makamae, e nānā i kāu mea i loaʻa. Loaʻa i kēlā me kēia ʻoihana nā koi palekana e pili ana i ka hoʻomohala ʻana, aia nā loiloi, nā hoʻāʻo komo - no ke aha e hoʻololi ʻole ai i kēia mau mea āpau i kahi ʻano hoʻomaopopo a maʻalahi no nā mea āpau?

ʻO ka mea maʻamau ka pepa Talmud e waiho ana ma kahi papa. Aia kekahi hihia i ka wā i hele mai ai mākou i ka hui e nānā i nā kaʻina hana a noi iā lākou e hōʻike i nā koi palekana no ka polokalamu. ʻO ka loea i hana i kēia ke ʻimi nei no ka manawa lōʻihi:

- I kēia manawa, aia ma kahi o nā memo kahi ala e waiho ai kēia palapala.

ʻO ka hopena, ua loaʻa iā mākou ka palapala i hoʻokahi pule ma hope.

No nā koi, nā loiloi a me nā mea hou aʻe, e hana i kahi ʻaoʻao, no ka laʻana ma Hola - He mea maʻalahi no nā mea a pau.

ʻOi aku ka maʻalahi o ka hoʻoponopono hou ʻana i nā mea i laila a hoʻohana iā ia e hoʻomaka.

E hoʻohana i ka Security Champions

ʻO ka maʻamau, i loko o kahi hui maʻamau no nā mea hoʻomohala 100-200, aia kekahi luna palekana e hana i nā hana he nui a ʻaʻohe manawa kino e nānā i nā mea āpau. ʻOiai inā e hoʻāʻo ʻo ia i kāna mea maikaʻi loa, ʻaʻole ʻo ia wale nō e nānā i nā code āpau i hana ʻia e ka hoʻomohala. No ia mau hihia, ua kūkulu ʻia kahi manaʻo - Luna Hoʻomalu.

ʻO ka Security Champions kahi kanaka i loko o ka hui hoʻomohala makemake i ka palekana o kāu huahana.

ʻO ka Champion Security kahi helu komo i ka hui hoʻomohala a ʻo ka mea haʻiʻōlelo palekana i ʻōwili ʻia i hoʻokahi.

ʻO ka maʻamau, ke hele mai kahi luna palekana i ka hui hoʻomohala a kuhikuhi i kahi hewa i ke code, loaʻa iā ia kahi pane kahaha:

- A ʻo wai ʻoe? ʻIke wau iā ʻoe no ka manawa mua. Ua maikaʻi nā mea a pau iaʻu - ua kau koʻu hoa kahiko i ka "hoʻopili" i ka loiloi code, neʻe mākou!

He kūlana maʻamau kēia, no ka mea, ʻoi aku ka nui o ka hilinaʻi i ka poʻe ʻelemakule a i ʻole nā ​​hoa hui wale nō e kamaʻilio mau ai ka mea hoʻomohala ma ka hana a me ka loiloi code. Inā, ma kahi o kahi kiaʻi palekana, kuhikuhi ka Luna Hoʻokele i ka hewa a me nā hopena, a laila e ʻoi aku ka nui o kāna ʻōlelo.

Eia kekahi, ʻike nā mea hoʻomohala i kā lākou code ma mua o kekahi kanaka palekana. No ka mea nona ka liʻiliʻi o 5 mau papahana i kahi hāmeʻa loiloi static, maʻamau ka paʻakikī e hoʻomanaʻo i nā nuances āpau. ʻIke ʻo Security Champions i kā lākou huahana: ʻo ka mea e pili ana me ka mea a me ka mea e nānā mua ai - ʻoi aku ka maikaʻi.

No laila e noʻonoʻo e hoʻokō i ka Security Champions a hoʻonui i ka mana o ka hui palekana. No ka mea hoʻokūkū ponoʻī, he mea maikaʻi hoʻi kēia: hoʻomohala ʻoihana i kahi kahua hou, hoʻonui i nā ʻike loea, pumping technical, managerial and leadership skills, hoʻonui i ka waiwai mākeke. ʻO kēia kekahi mea o ka ʻenekinia kaiapili, kou "maka" i ka hui hoʻomohala.

Nā pae hoʻāʻo

Pākuʻi 20 me 80 ʻōlelo ʻo 20% o nā hana e hāʻawi i 80% o nā hopena. ʻO kēia 20% nā hana loiloi noiʻi hiki a pono e hoʻomaʻamaʻa ʻia. ʻO nā laʻana o ia mau hana he static analysis − PAPA, ka nānā 'ana i ka ikaika - DAST и hoʻomalu kumu hāmama. E haʻi hou aku wau iā ʻoe e pili ana i nā hana, a me nā mea hana, nā hiʻohiʻona a mākou e ʻike pinepine ai i ka wā e hoʻokomo ʻia ai lākou i ke kaʻina hana, a pehea e hana pololei ai.

Nā pilikia mea hana nui

E hōʻike wau i nā pilikia e pili ana i nā mea kani a pau e pono ai ka nānā. E kālailai au iā lākou me nā kikoʻī i ʻole e hana hou.

Ka lōʻihi o ka wā kālailai. Inā he 30 mau minuke no ka hoʻāʻo ʻana a me ka hui ʻana mai ka hoʻokuʻu ʻana no ka hana ʻana, a laila hoʻokahi lā ka nānā ʻana i ka palekana ʻike. No laila ʻaʻohe mea e hoʻolohi i ke kaʻina hana. E noʻonoʻo i kēia hiʻohiʻona a huki i nā hopena.

Kiʻekiʻe False Negative a i ʻole False Positive. ʻOkoʻa nā huahana a pau, hoʻohana nā mea āpau i nā ʻano hana like ʻole a me kā lākou ʻano coding ponoʻī. Ma nā kumu code like ʻole a me nā ʻenehana, hiki i nā mea hana ke hōʻike i nā pae like ʻole o False Negative a False Positive. No laila e ʻike i ka mea i loko o kāu hui a no kāu e hōʻike ana nā noi i kahi hopena maikaʻi a hilinaʻi.

ʻAʻohe hoʻohui me nā mea hana i loaʻa. E nānā i nā mea hana e pili ana i ka hoʻohui ʻana me nā mea āu i hoʻohana ai. No ka laʻana, inā loaʻa iā ʻoe ʻo Jenkins a i ʻole TeamCity, e nānā i ka hoʻohui ʻana o nā mea hana me kēia polokalamu, ʻaʻole me GitLab CI, āu e hoʻohana ʻole ai.

Ka nele a i ʻole ka paʻakikī o ka hoʻoponopono. Inā ʻaʻohe API o ka mea hana, no ke aha e pono ai? Pono e loaʻa nā mea āpau i hiki ke hana ʻia ma o ka API. ʻO ke kūpono, pono i ka mea hana ke hiki ke hoʻonohonoho i nā loiloi.

ʻAʻohe palapala hoʻomohala huahana. ʻAʻole kū mālie ka hoʻomohala ʻana, hoʻohana mau mākou i nā frameworks hou a me nā hana, kākau hou i nā code kahiko i nā ʻōlelo hou. Makemake mākou e hōʻoia i ka mea hana a mākou e kūʻai ai e kākoʻo i nā frameworks a me nā ʻenehana hou. No laila, he mea nui e ʻike i ka huahana maoli a pololei Roadmap hooulu ana.

Nā hiʻohiʻona kaʻina

Ma waho aʻe o nā hiʻohiʻona o nā mea hana, e noʻonoʻo i nā hiʻohiʻona o ke kaʻina hana hoʻomohala. No ka laʻana, ke keʻakeʻa i ka hoʻomohala ʻana he kuhi maʻamau. E ʻike kākou i nā hiʻohiʻona ʻē aʻe e noʻonoʻo ʻia a me ka mea e pono ai ka hui palekana e hoʻolohe.

Iʻole e hoʻopilikia i ka hoʻomohalaʻana a me ka hoʻokuʻuʻana i nā palena manawa, hana lula like ʻole a okoa hōʻike pani - nā pae hoʻohālikelike no ka hoʻōki ʻana i ke kaʻina hana i mua o nā nāwaliwali - no nā kaiapuni like ʻole. No ka laʻana, maopopo mākou e hele ana ka lālā o kēia manawa i kahi kūlana hoʻomohala a i ʻole UAT, no laila ʻaʻole mākou e hoʻōki a ʻōlelo:

- Loaʻa iā ʻoe nā nāwaliwali ma ʻaneʻi, ʻaʻole ʻoe e hele i kahi ʻē aʻe!

I kēia manawa, he mea nui e haʻi aku i nā mea hoʻomohala aia nā pilikia palekana e nānā ai.

ʻO ka loaʻa ʻana o nā nāwaliwali ʻaʻole ia he mea pale i ka hoʻāʻo hou ʻana: manual, hoʻohui a lima paha. Ma ka ʻaoʻao ʻē aʻe, pono mākou e hoʻomaikaʻi i ka palekana o ka huahana, a i ʻole e helu nā mea hoʻomohala i ka mea i loaʻa i ka palekana. No laila, i kekahi manawa hana mākou i kēia: ma ke kū, i ka wā e ʻōwili ai i ke kaiapuni hoʻomohala, hoʻolaha wale mākou i ka hoʻomohala ʻana:

- E nā kāne, loaʻa iā ʻoe nā pilikia, e ʻoluʻolu e hoʻolohe iā lākou.

Ma ke kahua UAT, hōʻike hou mākou i nā ʻōlelo aʻo e pili ana i nā nāwaliwali, a ma ka puka puka i ka prom ke ʻōlelo nei mākou:

"E nā kāne, ua ʻōlelo pinepine mākou iā ʻoe, ʻaʻole ʻoe i hana i kekahi mea - ʻaʻole mākou e hoʻokuʻu iā ʻoe me kēia.

Inā mākou e kamaʻilio e pili ana i ke code a me ka dynamics, a laila pono e hōʻike a ʻōlelo e pili ana i nā nāwaliwali wale nō o kēlā mau hiʻohiʻona a me nā code i kākau ʻia ma kēia hiʻohiʻona. Inā hoʻoneʻe ka mea hoʻomohala i ke pihi e 3 pixels a haʻi mākou iā ia he SQL injection ma laila a no laila pono e hoʻoponopono koke ʻia, hewa kēia. E nānā wale i ka mea i kākau ʻia i kēia manawa, a me ka hoʻololi e hiki mai ana i ka noi.

E ʻōlelo mākou i kekahi hemahema hana - ʻo ke ala ʻaʻole pono e hana ka noi: ʻaʻole i hoʻoili ʻia ke kālā, ke kaomi ʻoe i ke pihi, ʻaʻohe hoʻololi i ka ʻaoʻao aʻe, a i ʻole e hoʻouka ʻia ka huahana. Nā hemahema palekana - ʻo ia nā hemahema like ʻole, akā ʻaʻole i ka pōʻaiapili o ka noi, akā palekana.

ʻAʻole nā ​​pilikia palekana a pau i ka maikaʻi o ka polokalamu. Akā pili nā pilikia palekana a pau i ka maikaʻi o ka polokalamu. Sherif Mansour, Expedia.

No ka mea he like nā hemahema a pau, pono e waiho ʻia ma kahi like me nā hemahema a pau. No laila poina e pili ana i nā hōʻike a me nā PDF weliweli ʻaʻohe mea heluhelu.

I koʻu wā e hana nei no kahi hui hoʻomohala, ua loaʻa iaʻu kahi hōʻike mai nā mea hana loiloi static. Wehe au, weliweli, hana kofe, lau ma 350 ʻaoʻao, pani a hele i ka hana. ʻO nā hōʻike nui he mau hōʻike make. ʻO ka maʻamau ʻaʻole lākou e hele i nā wahi ʻē aʻe, holoi ʻia nā leka uila, poina, nalowale, a i ʻole ka ʻoihana e ʻōlelo ana he pilikia.

He aha ka hana? Hoʻololi wale mākou i nā hemahema i ʻike ʻia i kahi ʻano kūpono no ka hoʻomohala ʻana, no ka laʻana, hoʻohui i ka backlog ma Jira. Hoʻonohonoho ʻia nā hemahema a hoʻopau ʻia ma ke ʻano o ka mea nui me nā hemahema hana a me nā hemahema hoʻāʻo.

Nānā Kūikawā - SAST

ʻO kēia ka loiloi code no nā nāwaliwali., akā ʻaʻole like ia me SonarQube. ʻAʻole mākou e nānā wale no nā hiʻohiʻona a i ʻole ke ʻano. Hoʻohana ʻia ka loiloi i kekahi mau ala: ma ka lāʻau vulnerability, by kahe ʻikepili, ma ke kālailai ʻana i nā faila hoʻonohonoho. ʻO ia wale nō no ke code ponoʻī.

Nā pōmaikaʻi o ka hoʻokokoke: ka ʻike ʻana i nā nāwaliwali i ke code i ka wā mua o ka hoʻomohala ʻanaina aole he mau ku a me na mea paahana i hoomakaukauia, a hiki ke hoʻonui i ka scan: nānā i kahi ʻāpana o ke code i hoʻololi ʻia, a ʻo ka hiʻohiʻona wale nō a mākou e hana nei, e hōʻemi ana i ka manawa scan.

Минусы ʻo ka nele i ke kākoʻo no nā ʻōlelo i makemake ʻia.

Pono nā hoʻohui, i loko o nā mea hana, i koʻu manaʻo kumuhana:

• Mea hana hoʻohui: Jenkins, TeamCity a me Gitlab CI.
• Kaiapuni hoʻomohala: Intellij IDEA, Visual Studio. ʻOi aku ka maʻalahi o ka mea hoʻomohala ʻaʻole e piʻi i kahi kikowaena hiki ʻole ke hoʻomanaʻo ʻia, akā e ʻike i nā hoʻohui pono āpau a me nā nāwaliwali i loaʻa iā ia ma ka wahi hana ma kāna ʻano hoʻomohala ponoʻī.
• Hoʻoponopono code: SonarQube a me ka loiloi manual.
• ʻO nā mea nānā hewa: Jira a me Bugzilla.

Hōʻike ke kiʻi i kekahi o nā ʻelele maikaʻi loa o ka loiloi static.

ʻAʻole ia nā mea hana, akā ʻo ke kaʻina hana, no laila aia nā ʻōnaehana Open Source maikaʻi no ka holo ʻana i ke kaʻina hana.

ʻAʻole ʻike ʻo SAST Open Source i kahi helu nui o nā nāwaliwali a i ʻole DataFlow paʻakikī, akā hiki ke hoʻohana ʻia i ke kūkulu ʻana i kahi kaʻina hana. Kōkua lākou i ka hoʻomaopopo ʻana i ke ʻano o ke kūkulu ʻia ʻana o ke kaʻina hana, ʻo wai ka mea e pane i nā pōpoki, nāna e hōʻike, nāna e hōʻike. Inā makemake ʻoe e hoʻokō i ka pae mua o ke kūkulu ʻana i ka palekana o kāu code, e hoʻohana i nā hoʻonā Open Source.

Pehea e hoʻohui ʻia ai kēia inā aia ʻoe i ka hoʻomaka o ka huakaʻi, ʻaʻohe āu mea: ʻaʻole CI, ʻaʻole ʻo Jenkins, ʻaʻole ʻo TeamCity? E noʻonoʻo i ka hoʻohui kaʻina.

Hoʻohui i ka pae CVS

Inā loaʻa iā ʻoe ka Bitbucket a i ʻole GitLab, hiki iā ʻoe ke hana i ka hoʻohui ʻana ma ka pae Pūnaehana Pūnaehana Kūlike.

Ma ka hanana huki noi, hana. ʻIke ʻoe i ke code a hōʻike i ke kūlana kūkulu i hala a i ʻole ka hōʻoia palekana.

Manaʻo manaʻo. ʻOiaʻiʻo, pono mau ka manaʻo. Ināʻoe i hana wale ia ma kaʻaoʻao palekana, e hoʻokomo i loko o ka pahu aʻaʻole i haʻi aku i kekahi mea e pili ana i ia mea, a laila e hoʻolei i ka pūpū o nā pahu i ka hopena o ka mahina,ʻaʻole pono kēia a maikaʻiʻole.

Hoʻohui me ka ʻōnaehana loiloi code

Hoʻokahi manawa, hoʻonoho mākou i ka mea hoʻohana ʻenehana AppSec ma ke ʻano he loiloi paʻamau i kekahi mau papahana koʻikoʻi. Ma muli o ka loaʻa ʻana o nā hewa i ke code hou a ʻaʻohe hewa paha, kau ka mea loiloi i ke kūlana ma ka noi huki e "ʻae" a i ʻole "pono ​​​​hana" - ua maikaʻi nā mea āpau, a i ʻole pono ʻoe e hoʻopau a pili i ka mea pololei. e hoopau. No ka hoʻohui ʻana me ka mana e hoʻokuʻu ʻia nei, ua hoʻopau mākou i ka hui ʻana inā ʻaʻole i hala ka hoʻāʻo IS. Ua hoʻokomo mākou i kēia ma ka loiloi code manual, a ʻo ke koena o nā kaʻina hana i ʻike i nā kūlana palekana no kēia kaʻina hana.

Hoʻohui me SonarQube

Nui nā mea i loaʻa ʻīpuka maikaʻi e pili ana i ka maikaʻi code. Ua like ia maanei - hiki iā ʻoe ke hana i nā ʻīpuka hoʻokahi wale nō no nā mea kani SAST. E loaʻa i ka interface like, ka ʻīpuka maikaʻi like, ʻo ia wale nō ke kapa ʻia ʻīpuka palekana. A no laila, inā he kaʻina hana i hoʻonohonoho ʻia me ka hoʻohana ʻana iā SonarQube, hiki iā ʻoe ke hoʻohui maʻalahi i nā mea āpau ma laila.

Hoʻohui i ka pae CI

Eia kekahi, maʻalahi nā mea a pau:

• E like me ka autotests, nā ho'āʻo ʻāpana.
• Māhele ma nā pae hoʻomohala: dev, hoao, prod. Hiki ke hoʻokomo ʻia nā ʻano lula like ʻole, a i ʻole nā ​​​​kūlana hāʻule like ʻole: hoʻōki mākou i ka ʻaha, ʻaʻole mākou e hoʻōki i ka ʻaha.
• Holo like ʻole/Asynchronous. Ke kali nei mākou i ka pau ʻana o nā hoʻokolohua palekana a i ʻole mākou e kali nei. ʻO ia hoʻi, hoʻokuʻu wale mākou iā lākou a neʻe aku, a laila loaʻa iā mākou kahi kūlana maikaʻi a maikaʻi ʻole paha nā mea āpau.

Aia i loko o kahi honua poni maikaʻi loa. I ke ola maoli, ʻaʻole kēia ka hihia, akā hoʻoikaika mākou. Pono e like ka hopena o ka hana ʻana i nā hōʻoia palekana me nā hopena o nā hoʻokolohua ʻāpana.

No ka laʻana, lawe mākou i kahi papahana nui a hoʻoholo i kēia manawa e nānā mākou iā ia me SAST - OK. Hoʻokomo mākou i kēia papahana i SAST, hāʻawi iā mākou i 20 mau nāwaliwali, a ua hoʻoholo mākou i ka manaʻo ikaika e maikaʻi nā mea a pau. ʻO 000 mau nāwaliwali kā mākou aie ʻenehana. E hoʻokomo mākou i ka aie i loko o kahi pahu, e ʻohi mālie mākou a hoʻomaka i nā pōpoki i nā trackers defect. E hoʻolimalima i kahi hui, e hana i nā mea a pau iā mākou iho, a i ʻole e kōkua mai ka Security Champions iā mākou, a e emi ana ka aie ʻenehana.

A e hoʻopau ʻia nā mea palupalu hou a pau i ke code hou e like me nā hewa i loko o kahi ʻāpana a i nā autotests. Ma ka ʻōlelo pili, ua hoʻomaka ka ʻaha, hoʻokuke aku, hāʻule ʻelua mau hoʻokolohua a me ʻelua mau hoʻokolohua palekana. OK - hele mākou, nānā i ka mea i hana, hoʻoponopono i kekahi, hoʻoponopono i ka lua, hoʻokele i ka manawa aʻe - maikaʻi nā mea a pau, ʻaʻohe mea hou i ʻike ʻia, ʻaʻole i hāʻule nā ​​hoʻokolohua. Inā ʻoi aku ka hohonu o kēia hana a pono ʻoe e hoʻomaopopo pono iā ia, a i ʻole ka hoʻoponopono ʻana i nā nāwaliwali e pili ana i nā papa nui o ka mea e waiho ana ma lalo o ka puʻu: lawe ʻia kahi pōpoki i loko o ka tracker defect, ua hoʻonohonoho ʻia a hoʻopaʻa ʻia. ʻO ka mea pōʻino, ʻaʻole hemolele ka honua a hāʻule nā ​​​​hoʻokolohua i kekahi manawa.

ʻO kahi hiʻohiʻona o kahi puka palekana he analogue o kahi puka maikaʻi, ma ke ʻano o ka hele ʻana a me ka helu o nā nāwaliwali i ke code.

Hoʻohui mākou me SonarQube - ua hoʻokomo ʻia ka plugin, maʻalahi a maʻalahi nā mea āpau.

Hoʻohui kaiapuni hoʻomohala

Nā koho hoʻohui:

• E hoʻomaka ana i kahi scan mai ke kaiapuni hoʻomohala ma mua o ka hana ʻana.
• Nānā i nā hopena.
• ʻIkepili o nā hopena.
• Hoʻonohonoho pū me ke kikowaena.

ʻO kēia ke ʻano o ka loaʻa ʻana o nā hopena mai ke kikowaena.

I ko mākou hoʻomohala ʻana Pūnaewele IDEA ʻIke ʻia he mea hou aʻe e ʻōlelo ana ua loaʻa kēlā mau nāwaliwali i ka wā o ka scan. Hiki iā ʻoe ke hoʻoponopono koke i ke code, ʻike i nā ʻōlelo paipai a kiʻi kahe. Aia kēia mau mea a pau ma ka wahi hana o ka mea hoʻomohala, he mea maʻalahi loa ia - ʻaʻole pono ʻoe e hahai i ke koena o nā loulou a nānā i kahi mea hou aʻe.

Open Source

ʻO kēia kaʻu kumuhana punahele. Hoʻohana nā kānaka a pau i nā hale waihona puke Open Source - no ke aha e kākau ai i kahi pūʻulu o nā koʻokoʻo a me nā paikikala ke hiki iā ʻoe ke lawe i kahi hale waihona puke i mākaukau i hoʻokō ʻia nā mea āpau?

ʻOiaʻiʻo, he ʻoiaʻiʻo kēia, akā ua kākau ʻia nā hale waihona puke e nā kānaka, e komo pū kekahi mau pilikia, a aia kekahi mau nāwaliwali i hōʻike ʻia i kēlā me kēia manawa, a i ʻole mau. No laila, aia kahi ʻanuʻu aʻe i ka Application Security - ʻo ia ka nānā ʻana o nā ʻāpana Open Source.

Nānā Haʻamaʻa Puna - OSA

Aia ka mea hana i ʻekolu mau ʻanuʻu nui.

Ke ʻimi nei i nā nāwaliwali ma nā hale waihona puke. No ka laʻana, ʻike ka mea paahana ke hoʻohana nei mākou i kekahi ʻano waihona, a i loko CVE a i ʻole i loko o nā mea hoʻomaʻamaʻa bug aia kekahi mau nāwaliwali e pili ana i kēia mana o ka waihona. Inā ho'āʻo ʻoe e hoʻohana, e aʻo aku ka mea hana iā ʻoe he palupalu ka waihona a ʻōlelo iā ʻoe e hoʻohana i kahi mana ʻē aʻe kahi i loaʻa ʻole ai nā nāwaliwali.

ʻIkepili o ka maʻemaʻe laikini. ʻAʻole kaulana loa kēia iā mākou, akā inā ʻoe e hana me kahi ʻāina ʻē, a laila hiki iā ʻoe ke loaʻa i kēlā me kēia manawa i kahi hoʻouka ʻana no ka hoʻohana ʻana i kahi ʻāpana open source ʻaʻole hiki ke hoʻohana a hoʻololi ʻia. Wahi a ke kulekele o ka hale waihona puke laikini, ʻaʻole hiki iā mākou ke hana i kēia. A i ʻole, inā mākou i hoʻololi a hoʻohana iā ia, pono mākou e kau i kā mākou code. ʻOiaʻiʻo, ʻaʻohe mea makemake e kau i ke code o kā lākou huahana, akā hiki iā ʻoe ke pale iā ʻoe iho mai kēia.

ʻIkepili o nā ʻāpana i hoʻohana ʻia i kahi ʻoihana ʻoihana. E noʻonoʻo i kahi kūlana hypothetical ua hoʻopau mākou i ka hoʻomohala ʻana a hoʻokuʻu i ka hoʻokuʻu hou loa o kā mākou microservice i ka ʻoihana. Noho maikaʻi ʻo ia ma laila - he pule, mahina, makahiki. ʻAʻole mākou e hōʻiliʻili, ʻaʻole mākou e hana i nā loiloi palekana, ua maikaʻi nā mea āpau. Akā hikiwawe, ʻelua pule ma hope o ka hoʻokuʻu ʻia ʻana, puka mai kahi nāwaliwali koʻikoʻi i ka ʻāpana Open Source, a mākou e hoʻohana ai i kēia hui kūikawā, i ka ʻenehana ʻoihana. Inā ʻaʻole mākou e hoʻopaʻa i ka mea a me kahi a mākou e hoʻohana ai, a laila ʻaʻole ʻike ʻia kēia nāwaliwali. Hiki i kekahi mau mea hana ke nānā i nā nāwaliwali i loko o nā hale waihona puke e hoʻohana ʻia nei i ka prom. He mea pono loa ia.

Nā Mea Hana:

• Nā kulekele like ʻole no nā pae like ʻole o ka hoʻomohala ʻana.
• Nānā i nā ʻāpana i loko o kahi ʻoihana.
• Ka mālama ʻana i nā hale waihona puke ma ke ʻano o ka hui.
• Kākoʻo no nā ʻōnaehana kūkulu like ʻole a me nā ʻōlelo.
• Nānā i nā kiʻi Docker.

ʻO kekahi mau hiʻohiʻona o nā alakaʻi i ke kula e hana nei i ka nānā ʻana o Open Source.

ʻO ka mea manuahi wale nō Nānā hilinaʻi mai OWASP. Hiki iā ʻoe ke hoʻohuli iā ia ma nā pae mua, e ʻike pehea e hana ai a me kāna mea e kākoʻo ai. ʻO ke kumu, ʻo kēia nā huahana kapuaʻi āpau, a i ʻole ma ka hale, akā ma hope o ko lākou waihona e hele mau lākou i ka Pūnaewele. ʻAʻole lākou e hoʻouna i kāu mau hale waihona puke, akā hashes a i kā lākou mau waiwai a lākou e helu ai, a me nā manamana lima i kā lākou kikowaena i mea e loaʻa ai ka lono o ka hiki ʻana o nā nāwaliwali.

Hoʻohui Kaʻina

Ka hoʻomalu ʻana i ka hale waihona pukei hoʻoili ʻia mai nā kumu waho. Loaʻa iā mākou nā waihona waho a me loko. No ka laʻana, loaʻa iā mākou ka Nexus i loko o Event Central, a makemake mākou e hōʻoia ʻaʻohe mea nāwaliwali me kahi kūlana "koʻikoʻi" a i ʻole "kiʻekiʻe" i loko o kā mākou waihona. Hiki iā ʻoe ke hoʻonohonoho i ka proxying me ka hoʻohana ʻana i ka mea hana Nexus Firewall Lifecycle i ʻoki ʻia kēlā mau nāwaliwali a ʻaʻole i hoʻokomo ʻia i loko o ka waihona kūloko.

CI hoʻohui. Ma ka pae hoʻokahi me nā autotests, nā hoʻokolohua ʻāpana a me ka māhele ʻana i nā pae hoʻomohala: dev, test, prod. I kēlā me kēia pae, hiki iā ʻoe ke hoʻoiho i nā hale waihona puke, hoʻohana i kekahi mea, akā inā he mea paʻakikī me ke kūlana "koʻikoʻi", pono paha ʻoe e huki i ka manaʻo o nā mea hoʻomohala i kēia ma ke kahua o ke komo ʻana i ka prom.

Hoʻohui mea hana: Nexus a me JFrog.

Hoʻohui i loko o ke kaiapuni hoʻomohala. Pono nā mea hana āu e koho ai e hoʻohui pū me nā kaiapuni hoʻomohala. Pono ka mea hoʻomohala e loaʻa i nā hopena scan mai kāna wahi hana, a i ʻole ka hiki ke nānā a nānā i ke code no nā nāwaliwali ma mua o ka hana ʻana ma CVS.

Hoʻohui CD. He hiʻohiʻona maikaʻi kēia aʻu i makemake nui ai a ua kamaʻilio mua wau e pili ana - ka nānā ʻana i ka puka ʻana mai o nā nāwaliwali hou i kahi ʻoihana ʻoihana. Ke hana nei e like me kēia.

Aia iā mākou Hale Waihona Puke Public Component - kekahi mau mea hana ma waho, a me kā mākou waihona kūloko. Makemake mākou i nā ʻāpana hilinaʻi wale nō i loko. Ke hoʻololi nei i kahi noi, ʻike mākou ʻaʻohe nāwaliwali o ka waihona i hoʻoiho ʻia. Inā hāʻule ia ma lalo o kekahi mau kulekele a mākou i hoʻonohonoho ai a pono e hui pū me ka hoʻomohala ʻana, a laila ʻaʻole mākou e hoʻouka a loaʻa iā mākou kahi rebuff e hoʻohana i kahi ʻano ʻokoʻa. No laila, inā loaʻa kekahi mea koʻikoʻi a maikaʻi ʻole i loko o ka waihona, a laila ʻaʻole e loaʻa i ka mea hoʻomohala ka waihona ma ka pae hoʻonohonoho - e hoʻohana ʻo ia i kahi mana kiʻekiʻe a haʻahaʻa paha.

• I ke kūkulu ʻana, ʻike mākou ʻaʻohe mea i paheʻe i kekahi mea ʻino, palekana nā mea āpau a ʻaʻohe mea i lawe mai i kekahi mea pōʻino ma ka flash drive.
• Loaʻa iā mākou nā mea hilinaʻi i loko o ka waihona.
• I ka hoʻoili ʻana, nānā hou mākou i ka pōʻai iā ia iho: kaua, jar, DL a i ʻole kiʻi Docker no ka ʻoiaʻiʻo e pili ana i ke kulekele.
• I ke komo ʻana i ka ʻoihana ʻenehana, nānā mākou i nā mea e hana nei i ka ʻoihana ʻenehana: ʻike ʻia nā mea koʻikoʻi koʻikoʻi a ʻaʻole i ʻike ʻia.

Hoʻomākaʻikaʻi ʻia - DAST

ʻOkoʻa nā mea hana hoʻonaʻauao Dynamic mai nā mea a pau i ʻōlelo ʻia ma mua. He ʻano hoʻohālike kēia o ka hana a ka mea hoʻohana me ka noi. Inā he noi pūnaewele kēia, hoʻouna mākou i nā noi e hoʻohālike i ka hana a ka mea kūʻai aku, kaomi i nā pihi ma ke alo, e hoʻouna i nā ʻikepili artificial mai ke ʻano: nā huaʻōlelo, nā brackets, nā huapalapala i nā hoʻopili like ʻole e nānā i ke ʻano o ka hana a me nā kaʻina o waho. ʻikepili.

Hāʻawi ka ʻōnaehana like iā ʻoe e nānā i nā palupalu template ma Open Source. No ka mea ʻaʻole ʻike ʻo DAST i ka Open Source a mākou e hoʻohana nei, hoʻolei wale ʻo ia i nā kumu "ʻino" a nānā i nā pane a ke kikowaena:

- ʻAe, aia kahi pilikia deserialization ma ʻaneʻi, akā ʻaʻole ma aneʻi.

Nui nā pilikia i kēia, no ka mea, inā e hana ʻoe i kēia hoʻāʻo palekana ma ke kū hoʻokahi e hana pū ai nā mea hoʻāʻo, hiki i nā mea leʻaleʻa.

• Haawe kiʻekiʻe ma ka pūnaewele kikowaena noi.
• ʻAʻohe hoʻohui.
• ʻO ka hiki ke hoʻololi i nā hoʻonohonoho o ka noi i kālailai ʻia.
• ʻAʻohe kākoʻo no nā ʻenehana pono.
• Paʻakikī o ka hoʻonohonoho.

Ua loaʻa iā mākou kahi kūlana i ka wā i hoʻokuʻu ai mākou iā AppScan: ua kīkē mākou i ke komo ʻana i ka noi no ka manawa lōʻihi, loaʻa iā 3 mau moʻolelo a hauʻoli - ma hope, e nānā mākou i nā mea āpau! Ua hoʻomaka mākou i kahi scan, a ʻo ka mea mua a AppScan i hana ai ʻo ia ke komo i ka panel admin, hou i nā pihi āpau, hoʻololi i ka hapalua o ka ʻikepili, a laila pepehi i ke kikowaena me kāna ponoʻī. palapala leka-noi. Ua ʻōlelo ʻo Development me Testing:

“E nā kāne, ke hoʻomākeʻaka nei ʻoukou iaʻu?! Ua hāʻawi mākou iā ʻoe i nā moʻolelo, a ua kau ʻoe i ke kū!

E noʻonoʻo i nā pilikia hiki. Pono, e hoʻomākaukau i kahi kū kaʻawale no ka hoʻāʻo ʻana i ka palekana ʻike, e hoʻokaʻawale ʻia mai ke koena o ke kaiapuni ma ka liʻiliʻi loa, a nānā pono i ka panel admin, ʻoi aku ka maikaʻi ma ke ʻano manual. He pentest kēia - kēlā mau pākēneka i koe o ka hoʻoikaika ʻana ʻaʻole mākou e noʻonoʻo nei i kēia manawa.

Pono e noʻonoʻo hiki iā ʻoe ke hoʻohana i kēia ma ke ʻano he analogue o ka hoʻāʻo ʻana. I ka pae mua, hiki iā ʻoe ke hoʻohuli i ka scanner dynamic ma 10-15 mau kaula a ʻike i ka mea e hana nei, akā maʻamau, e like me ka hōʻike ʻana i ka hana, ʻaʻohe mea maikaʻi.

ʻO kekahi mau kumuwaiwai a mākou e hoʻohana mau ai.

Pono e hōʻike Burp Suite ʻo ia ka "Swiss knife" no kekahi ʻoihana palekana. Hoʻohana nā kānaka a pau, a maʻalahi loa. Ua hoʻokuʻu ʻia kahi mana demo hou o ka paʻi ʻoihana. Inā ma mua he pono kū hoʻokahi wale nō me nā plugins, i kēia manawa ke hana nei nā mea hoʻomohala i kahi kikowaena nui kahi e hiki ai ke hoʻokele i kekahi mau ʻelele. He ʻoluʻolu, aʻo wau iā ʻoe e hoʻāʻo.

Hoʻohui Kaʻina

Maikaʻi a maʻalahi ka hoʻohui ʻana: hoʻomaka scan ma hope o ka holomua o ka hoʻouka ʻana nā noi ma ke kū a ka nānā ʻana ma hope o ka hoʻāʻo hoʻohui ʻana.

Inā ʻaʻole holo nā hoʻohui a i ʻole he mau stubs a me nā hana hoʻomāʻewaʻewa, he mea ʻole ia a he mea ʻole - ʻaʻohe kumu a mākou e hoʻouna ai, e pane mau ke kikowaena i ke ala like.

• ʻO ke kūpono, kahi papa hoʻāʻo ʻokoʻa.
• Ma mua o ka hoʻāʻo ʻana, e kākau i ke kaʻina komo.
• ʻO ka hoʻāʻo ʻana i ka ʻōnaehana hoʻokele he manual wale nō.

kaʻina

ʻO kahi liʻiliʻi liʻiliʻi e pili ana i ke kaʻina hana ma ka laulā a me ka hana o kēlā me kēia hāmeʻa, ʻokoʻa. He ʻokoʻa nā noi āpau - ʻoi aku ka maikaʻi o kekahi me ka nānā ʻana, ʻo kekahi me ka loiloi static, ʻo ke kolu me ka OpenSource analysis, pentests, a i ʻole kekahi mea ʻē aʻe ma ka laulā, no ka laʻana, nā hanana me Waf.

Pono e hoʻomaluʻia kēlā me kēia kaʻina hana.

No ka hoʻomaopopo ʻana i ke ʻano o ke kaʻina hana a me kahi e hiki ai ke hoʻomaikaʻi ʻia, pono ʻoe e hōʻiliʻili i nā metric mai nā mea āpau e hiki ai iā ʻoe ke loaʻa i kou mau lima, me nā metric hana, metrics mai nā mea paahana a me nā mea hoʻokele defect.

He kōkua kekahi ʻike. Pono e nānā i nā ʻāpana like ʻole kahi i hoʻohana maikaʻi ʻia ai kēia a i ʻole kēlā mea hana, kahi e sags pono ai ke kaʻina hana. Pono paha e nānā i ka manawa pane hoʻomohala e ʻike i kahi e hoʻomaikaʻi ai i ke kaʻina hana ma muli o ka manawa. ʻO ka nui o nāʻikepili, hiki ke kūkuluʻia nāʻokiʻoki mai ka papa kiʻekiʻe i nā kiko'ī o kēlā me kēia kaʻina hana.

No ka mea, loaʻa i nā mea loiloi static a me ka ikaika i kā lākou API ponoʻī, kā lākou mau ala hoʻomaka, nā loina, aia kekahi i nā mea hoʻonohonoho, ʻaʻole ʻē aʻe - ke kākau nei mākou i kahi mea hana. AppSec Orkestra, kahi e hiki ai iā ʻoe ke hana i hoʻokahi helu komo i ke kaʻina holoʻokoʻa mai ka huahana a mālama iā ia mai kahi wahi.

Loaʻa i nā luna, nā mea hoʻomohala, a me nā ʻenekini palekana hoʻokahi wahi komo kahi e ʻike ai i ka mea e holo nei, hoʻonohonoho a holo i nā scans, loaʻa nā hopena scan, a waiho i nā koi. Ke ho'āʻo nei mākou e haʻalele i nā ʻāpana pepa, unuhi i nā mea a pau i ke kanaka e hoʻohana ai ka hoʻomohala - nā ʻaoʻao ma Confluence me ke kūlana a me nā ana, nā hemahema ma Jira a i ʻole nā ​​​​mea hoʻokele hemahema, a i ʻole ka hoʻokomo ʻana i kahi kaʻina hana synchronous / asynchronous ma CI / CD.

Ke Kumu Loaʻa

ʻAʻole pili nā mea hana. E noʻonoʻo mua i ke kaʻina hana, a laila hoʻokō i nā mea hana. He maikaʻi nā mea hana, akā he pipiʻi, no laila hiki iā ʻoe ke hoʻomaka me ke kaʻina hana a hoʻoponopono maikaʻi i ka pilina a me ka ʻike ma waena o ka hoʻomohala a me ka palekana. Mai ka manaʻo o ka palekana, ʻaʻohe pono e "hoʻopau" i nā mea āpau i ka lālani. .

ʻO ka maikaʻi o ka huahana - pahuhopu like ʻo ka palekana a me ka hoʻomohala ʻana. Hana mākou i hoʻokahi mea, hoʻāʻo mākou e hōʻoia i ka hana pono ʻana o nā mea āpau a ʻaʻohe pilikia o ka inoa a me nā poho kālā. ʻO ia ke kumu e hoʻolaha ai mākou i ka hoʻokokoke ʻana iā DevSecOps, SecDevOps i mea e hoʻokumu ai i ke kamaʻilio a hoʻomaikaʻi i ka huahana.

E hoʻomaka me ka mea i loaʻa ma laila: nā koi, hoʻolālā, nānā hapa, aʻo, alakaʻi. ʻAʻole pono e hoʻopili koke i nā hana āpau i nā papahana āpau - hoʻoneʻe hoʻi. ʻAʻohe kūlana hoʻokahi hoʻokolohua a ho'āʻo i nā ala like ʻole a me nā hoʻonā.

Hōʻailona like ma waena o nā hemahema IS a me nā hemahema hana.

Hoʻokaʻawale i nā mea a pauke nee nei. ʻO kēlā me kēia mea ʻaʻole e neʻe, neʻe a hoʻokaʻawale. Inā hana lima ʻia kekahi mea, ʻaʻole maikaʻi kēia o ke kaʻina hana. Pono paha e noʻonoʻo hou a hoʻomaʻamaʻa pū kekahi.

Inā liʻiliʻi ka nui o ka hui IB - hoʻohana i ka Security Champions.

Malia paha ʻaʻole kūpono ia mea aʻu i kamaʻilio ai a loaʻa iā ʻoe kahi mea ponoʻī - a maikaʻi kēlā. Akā koho i nā mea hana ma muli o nā koi o kāu kaʻina hana. Mai nānā i ka ʻōlelo a ke kaiāulu he ʻino kēia mea hana a maikaʻi kēia. He ʻano ʻē aʻe paha ia ma kāu huahana.

Pono mea hana.

• Haʻahaʻa False Positive.
• Ka manawa kālailai kūpono.
• Māmā o ka hoʻohana.
• Loaʻa i nā hoʻohui.
• ʻO ka hoʻomaopopo ʻana i ke alanui hoʻomohala huahana.
• Hiki ke hoʻopilikino i nā mea hana.

Ua koho ʻia ka hōʻike a Yuriy i mea maikaʻi loa ma DevOpsConf 2018. No ka ʻike ʻana i nā manaʻo hoihoi a me nā hihia kūpono, e hele mai i Skolkovo ma Mei 27 a me 28. DevOpsConf i loko ʻahaʻaina RIT++. ʻOi aku ka maikaʻi, inā makemake ʻoe e kaʻana like i kāu ʻike, a laila pili E hoʻouna i kāu hōʻike a hiki i ka lā 21 ʻApelila.

Source: www.habr.com