موږ 2 کوډ شنونکي، 4 متحرک ازموینې وسیلې، زموږ خپل لاسي صنایع او 250 سکریپټونه درلودل. دا نده چې دا ټول په اوسني پروسې کې اړین دي، مګر یوځل چې تاسو د DevSecOps پلي کول پیل کړئ، تاسو باید پای ته لاړ شئ.
. د کرکټر جوړونکي: جسټین رویلینډ او ډین هارمون.
SecDevOps څه شی دی؟ د DevSecOps په اړه څه؟ توپیرونه څه دي؟ د غوښتنلیک امنیت - دا د څه شی دی؟ ولې کلاسیک چلند نور کار نه کوي؟ د دې ټولو پوښتنو په ځواب پوهیږي یوري شبالین د د تلوار فش امنیت. یوري به هرڅه ته په تفصیل سره ځواب ووایی او د کلاسیک غوښتنلیک امنیت ماډل څخه د DevSecOps پروسې ته د لیږد ستونزې تحلیل کړي: څنګه د DevOps پروسې کې د خوندي پرمختیا پروسې ادغام ته په سمه توګه مراجعه وکړئ او هیڅ شی مات نه کړئ ، څنګه د اصلي مرحلو څخه تیر شئ د امنیت ازموینې ، کوم وسیلې کارول کیدی شي ، او څه توپیر لري او څنګه یې په سمه توګه تنظیم کړئ ترڅو د زیانونو څخه مخنیوی وشي.
د سپیکر په اړه: یوري شبالین - په شرکت کې د امنیت لوی معمار د تلوار فش امنیت. د SSDL پلي کولو لپاره مسؤل دی ، د متحد پراختیا او ازموینې اکوسیستم کې د غوښتنلیک تحلیلي وسیلو بشپړ ادغام لپاره. د معلوماتو امنیت کې 7 کلنه تجربه. په Alfa-Bank، Sberbank او Positive Technologies کې کار کړی، کوم چې سافټویر جوړوي او خدمات وړاندې کوي. په نړیوالو کنفرانسونو کې سپیکر ZerONights، PHDays، RISSPA، OWASP.
د غوښتنلیک امنیت: دا څه شی دی؟
د کاریال امنیت - دا د امنیت برخه ده چې د غوښتنلیک امنیت مسؤلیت لري. دا په زیربنا یا د شبکې امنیت باندې نه پلي کیږي، بلکه د هغه څه لپاره چې موږ یې لیکو او کوم پراختیا کونکي کار کوي - دا پخپله د غوښتنلیک نیمګړتیاوې او زیانونه دي.
لارښوونه - د امنیت پراختیا ژوند دوره - د مایکروسافټ لخوا رامینځته شوی. ډیاګرام د کانونیکي SDLC ماډل ښیې ، چې اصلي دنده یې د پراختیا په هر مرحله کې د امنیت برخه اخیستنه ده ، له غوښتنو څخه خوشې کولو او تولید پورې. مایکروسافټ پوهیده چې په صنعت کې ډیری بګونه شتون لري، ډیری یې شتون لري او یو څه باید د دې په اړه ترسره شي، او دوی دا طریقه وړاندیز کړه، کوم چې کینونیکي شوی.
د اپلیکیشن امنیت او SSDL موخه د زیانونو کشف کول ندي، لکه څنګه چې عموما باور کیږي، مګر د دوی د پیښې مخنیوي لپاره. د وخت په تیریدو سره، د مایکروسافټ کینونیکي طریقه ښه شوې، وده شوې، او په ژوره، ډیر تفصیلي غوطه کې معرفي شوې.
کینونیکي SDLC په مختلفو میتودونو کې خورا مفصل دی - OpenSAMM، BSIMM، OWASP. میتودونه مختلف دي، مګر عموما ورته دي.
د بلوغت ماډل کې د امنیت رامینځته کول
زه دا ډیر خوښوم BSIMM - . د میتودولوژي اساس په 4 ډومینونو کې د غوښتنلیک امنیت پروسې ویش دی: حکومتداري ، استخبارات ، د SSDL ټچ پواینټ او ځای په ځای کول. هر ډومین 12 تمرینونه لري، کوم چې د 112 فعالیتونو په توګه استازیتوب کیږي.
د 112 فعالیتونو څخه هر یو لري 3 د بلوغت کچه: پیل کونکی، منځنی او پرمختللی. تاسو کولی شئ ټول 12 تمرینونه د برخې په واسطه مطالعه کړئ، هغه شیان غوره کړئ چې تاسو ته مهم دي، معلومه کړئ چې څنګه یې پلي کړئ او په تدریجي ډول عناصر اضافه کړئ، د بیلګې په توګه، د جامد او متحرک کوډ تحلیل یا د کوډ بیاکتنه. تاسو یو پلان ولیکئ او د ټاکل شوي فعالیتونو پلي کولو برخې په توګه په آرامۍ سره د هغې مطابق کار وکړئ.
ولې DevSecOps
DevOps یوه عمومي، لویه پروسه ده چې امنیت باید په پام کې ونیول شي.
په پیل کې امنیتي معاینات شامل دي. په عمل کې، د امنیتي ټیمونو شمیر د اوس په پرتله خورا کم و، او دوی په پروسه کې د ګډون کوونکو په توګه نه، بلکې د کنټرول او نظارت کونکي ارګان په توګه کار کاوه چې اړتیاوې یې وضع کوي او د خوشې کیدو په پای کې د محصول کیفیت ګوري. دا یو کلاسیک چلند دی چې امنیتي ټیمونه د پراختیا څخه د دیوال شاته وو او په پروسه کې یې برخه نه وه اخیستې.
اصلي ستونزه دا ده چې د معلوماتو امنیت له پراختیا څخه جلا دی. معمولا دا د معلوماتو امنیت یو ډول سرکټ دی او دا 2-3 لوی او ګران وسیلې لري. په هرو شپږو میاشتو کې یو ځل، د سرچینې کوډ یا غوښتنلیک چې چک کولو ته اړتیا لري راځي، او په کال کې یو ځل تولید کیږي . دا ټول د دې حقیقت لامل کیږي چې د صنعت لپاره د خوشې کیدو نیټه ځنډول شوې ، او پراختیا کونکی د اتوماتیک وسیلو څخه د لوی شمیر زیانونو سره مخ کیږي. د دې ټولو جلا کول او ترمیم کول ناممکن دي، ځکه چې د تیرو شپږو میاشتو پایلې نه دي ترتیب شوي، مګر دلته یو نوی بست دی.
زموږ د شرکت د کار په جریان کې، موږ ګورو چې په ټولو ساحو او صنعتونو کې امنیت پوهیږي چې دا د دې وخت دی چې په ورته څرخ کې د پرمختګ سره مخ شو او سپن شو. . د DevSecOps تمثیل په هر ریلیز او تکرار کې د چټک پرمختیا میتودولوژي، پلي کولو، ملاتړ او ګډون سره په بشپړه توګه فټ کوي.
DevSecOps ته لیږد
د امنیت د پراختیا په ژوندلیک کې ترټولو مهمه کلمه ده "پروسس". تاسو باید پدې پوه شئ مخکې لدې چې تاسو د وسیلو پیرودلو په اړه فکر وکړئ.
په ساده ډول د DevOps پروسې کې د وسیلو شاملول کافي ندي — د پروسې برخه اخیستونکو ترمینځ اړیکه او پوهه مهمه ده.
خلک ډیر مهم دي، نه وسایل.
ډیری وختونه، د خوندي پراختیا پروسې لپاره پالن جوړونه د یوې وسیلې غوره کولو او پیرودلو سره پیل کیږي، او په اوسني بهیر کې د وسیلې د یوځای کولو هڅو سره پای ته رسیږي، کوم چې هڅې پاتې دي. دا د بدبختانه پایلو لامل کیږي، ځکه چې ټول وسایل خپل ځانګړتیاوې او محدودیتونه لري.
یو عام قضیه هغه وخت ده چې د امنیت څانګې یو ښه، ګران وسیله د پراخو وړتیاوو سره غوره کړه، او پراختیا کونکو ته راغلل ترڅو دا په پروسه کې مدغم کړي. مګر دا کار نه کوي - پروسه په داسې ډول جوړه شوې چې دمخه د پیرود شوي وسیلې محدودیتونه په اوسني تمثیل کې مناسب ندي.
لومړی، تشریح کړئ چې تاسو کومه پایله غواړئ او پروسه به څه ډول ښکاري. دا به په پروسه کې د وسیلې او خوندیتوب رول په پوهیدو کې مرسته وکړي.
د هغه څه سره پیل کړئ چې دمخه کارول کیږي
د قیمتي وسایلو پیرودلو دمخه، هغه څه وګورئ چې مخکې یې لرئ. هر شرکت د پراختیا لپاره امنیتي اړتیاوې لري، چیکونه، پینټیسټونه شتون لري - ولې دا ټول په داسې بڼه بدل نه کړئ چې د هرچا لپاره د پوهیدو وړ او مناسب وي؟
معمولا اړتیاوې د کاغذ تلمود دي چې په شیلف کې پروت دی. یوه قضیه وه کله چې موږ یو شرکت ته راغلو ترڅو پروسې وګورو او د سافټویر لپاره د امنیت اړتیاو لیدلو غوښتنه یې وکړه. متخصص چې د دې سره معامله کړې د اوږدې مودې په لټه کې یې تیر کړل:
- اوس، په یادښتونو کې یو ځای لاره وه چیرې چې دا سند پروت دی.
د پایلې په توګه، موږ یوه اونۍ وروسته سند ترلاسه کړ.
د اړتیاو، چکونو او نورو شیانو لپاره، د مثال په توګه یو پاڼه جوړه کړئ سنگم - دا د هرچا لپاره مناسب دی.
د هغه څه اصلاح کول اسانه دي چې تاسو یې دمخه لرئ او د پیل کولو لپاره یې وکاروئ.
د امنیت اتلان وکاروئ
عموما، په اوسط شرکت کې د 100-200 پراختیا کونکو سره، یو امنیتي متخصص شتون لري چې ډیری دندې ترسره کوي او په فزیکي توګه وخت نلري چې هرڅه وګوري. حتی که هغه خپله هڅه وکړي، هغه به یوازې هغه ټول کوډ ونه ګوري چې پراختیا یې رامینځته کوي. د داسې قضیو لپاره، یو مفهوم رامینځته شوی - .
د امنیت اتلان د پرمختیایی ټیم دننه خلک دي چې ستاسو د محصول امنیت سره علاقه لري.
د امنیت اتل د پرمختیایی ټیم ته د ننوتلو نقطه ده او د امنیت انجیل په یوه کې شامل شوی.
معمولا، کله چې یو امنیتي متخصص د پراختیا ټیم ته راځي او په کوډ کې یوه تېروتنه په ګوته کوي، هغه حیرانتیا ځواب ترلاسه کوي:
- او ته څوک یې؟ زه تاسو د لومړي ځل لپاره وینم. هرڅه زما سره سم دي - زما لوړ پوړي ملګري ماته د کوډ بیاکتنې کې "عرضي" راکړه، موږ پرمخ ځو!
دا یو عادي حالت دی، ځکه چې په مشرانو یا په ساده ډول د ټیم ملګرو باندې ډیر باور شتون لري چې پراختیا ورکوونکي په دوامداره توګه په کار او د کوډ بیاکتنې کې اړیکه لري. كه د امنيتي مسوول پر ځاى د امنيت امر تېروتنې او پايلې په ګوته كړي، نو د ده خبره به نوره هم وزن ولري.
همچنان ، پراختیا کونکي خپل کوډ د هر امنیت متخصص څخه ښه پوهیږي. د یو چا لپاره چې لږترلږه 5 پروژې لري په جامد تحلیلي وسیلې کې ، دا معمولا ستونزمن وي چې ټول باریکونه په یاد ولرئ. د امنیت اتلان خپل محصول پیژني: د څه شی سره تعامل کوي او څه باید لومړی وګورئ - دوی ډیر اغیزمن دي.
نو د امنیتي اتلانو پلي کولو او ستاسو د امنیتي ټیم نفوذ پراخولو ته پام وکړئ. دا پخپله د اتل لپاره هم ګټور دی: په نوي ساحه کې مسلکي پرمختګ، د هغه تخنیکي افق پراخول، د تخنیکي، مدیریت او مشرتابه مهارتونو لوړول، د بازار ارزښت لوړول. دا د ټولنیز انجینرۍ ځینې عنصر دی، ستاسو "سترګې" په پراختیایی ټیم کې.
د ازموینې پړاوونه
وايي چې 20% هڅې 80% پایلې تولیدوي. دا 20٪ د غوښتنلیک تحلیلي کړنې دي چې کیدی شي او باید اتومات شي. د دې ډول فعالیتونو بیلګې جامد تحلیلونه دي - SAST, متحرک تحلیل - DAST и د خلاصې سرچینې کنټرول. زه به تاسو ته د فعالیتونو په اړه په ډیر تفصیل سره ووایم، او همدارنګه د وسیلو په اړه، کوم ځانګړتیاوې چې موږ معمولا په پروسه کې د معرفي کولو په وخت کې ورسره مخ کیږو، او دا څنګه په سمه توګه ترسره کړو.
د وسیلو اصلي ستونزې
زه به هغه ستونزې په ګوته کړم چې د ټولو وسیلو لپاره اړین دي او پاملرنې ته اړتیا لري. زه به دوی په ډیر تفصیل سره تحلیل کړم ترڅو دوی نور تکرار نه کړم.
اوږد تحلیل وخت. که د ژمنې خوشې کولو لپاره دا د ټولو ازموینو او مجلس لپاره 30 دقیقې وخت نیسي ، نو د معلوماتو امنیت چیکونه به یوه ورځ ونیسي. نو هیڅوک به دا پروسه ورو نه کړي. دا خصوصیت په پام کې ونیسئ او پایلې یې واخلئ.
په لوړه کچه غلط منفي یا غلط مثبت. ټول محصولات مختلف دي، ټول مختلف چوکاټونه او د دوی د کوډ کولو سټایل کاروي. په مختلف کوډبیسونو او ټیکنالوژیو کې، وسیلې ممکن د غلط منفي او غلط مثبت مختلف کچې وښیې. نو وګورئ چې په حقیقت کې څه شی دی ستا د شرکتونه او د دې لپاره ستاسو غوښتنلیکونه به ښه او د باور وړ پایلې وښیې.
د موجوده وسیلو سره هیڅ ادغام نشته. د هغه څه سره د ادغام په شرایطو کې وسیلې وګورئ چې تاسو دمخه کاروئ. د مثال په توګه، که تاسو جینکنز یا ټیم سیټي لرئ، د دې سافټویر سره د وسیلو ادغام وګورئ، او نه د GitLab CI سره، کوم چې تاسو یې نه کاروئ.
د اصلاح کولو نشتوالی یا ډیر پیچلتیا. که یوه وسیله API نلري، نو ولې ورته اړتیا ده؟ هرڅه چې په انٹرفیس کې ترسره کیدی شي باید د API له لارې شتون ولري. په عین حال کې، وسیله باید د چکونو دودیز کولو وړتیا ولري.
د محصول د پراختیا لار نقشه نشته. پرمختګ په ټپه ولاړ نه دی، موږ تل نوي چوکاټونه او افعال کاروو، زاړه کوډ په نویو ژبو بیا لیکو. موږ غواړو ډاډ ترلاسه کړو چې هغه وسیله چې موږ یې اخلو هغه به د نوي چوکاټونو او ټیکنالوژیو ملاتړ وکړي. له همدې امله، دا مهمه ده چې پوه شي چې محصول حقیقي او سم دی پراختیا
د پروسې ب .ې
د وسیلو د ځانګړتیاوو سربیره، د پراختیا پروسې ځانګړتیاوې په پام کې ونیسئ. د مثال په توګه، د پرمختګ خنډ کول یوه عامه تېروتنه ده. راځئ وګورو چې کوم نور ځانګړتیاوې باید په پام کې ونیول شي او امنیتي ټیم باید کومو ته پاملرنه وکړي.
د دې لپاره چې پراختیا له لاسه ورنکړئ او مهال ویش خپور کړئ ، رامینځته کړئ مختلف قواعد او مختلف بندونکي وښيي - د زیانونو په شتون کې د جوړونې پروسې ودرولو لپاره معیارونه - د مختلف چاپیریال لپاره. د مثال په توګه، موږ پوهیږو چې اوسنۍ څانګه پرمختیایي موقف یا UAT ته ځي، پدې معنی چې موږ نه ودریږو او وایو:
"تاسو دلته زیان منونکي یاست، تاسو به نور هیڅ ځای ته لاړ نه شئ!"
پدې مرحله کې، دا مهمه ده چې پراختیا کونکو ته ووایاست چې امنیتي مسلې شتون لري چې پاملرنې ته اړتیا لري.
د زیان منونکو شتون د نورو ازموینو لپاره خنډ ندی: لارښود، ادغام یا لارښود. له بلې خوا، موږ اړتیا لرو چې په یو ډول د محصول امنیت زیات کړو، او د دې لپاره چې پراختیا کونکي هغه څه چې دوی خوندي وي غفلت نکوي. له همدې امله، ځینې وختونه موږ دا کار کوو: په موقف کې، کله چې دا پراختیایي چاپیریال ته لیږدول کیږي، موږ په ساده ډول پراختیا ته خبر ورکوو:
- هلکانو، تاسو ستونزې لرئ، مهرباني وکړئ ورته پام وکړئ.
د UAT په مرحله کې موږ بیا د زیانونو په اړه خبرداری ورکوو، او د خوشې کولو په مرحله کې موږ وایو:
- هلکانو، موږ تاسو ته څو ځله خبرداری ورکړی، تاسو هیڅ ونه کړل - موږ به تاسو له دې سره نه پریږدو.
که موږ د کوډ او متحرکاتو په اړه وغږیږو، نو دا اړینه ده چې یوازې د هغو ځانګړتیاوو او کوډونو زیانمنونکي ښودل او خبرداری ورکړئ چې یوازې په دې فیچر کې لیکل شوي. که یو پرمخ وړونکی یو تڼۍ د 3 پکسلونو په واسطه حرکت کوي او موږ ورته ووایو چې هغه هلته د SQL انجیکشن لري او له همدې امله باید سمدستي اصلاح شي، دا غلط دی. یوازې هغه څه وګورئ چې اوس لیکل شوي او هغه بدلون ته چې غوښتنلیک ته راځي.
راځئ چې ووایو چې موږ یو ځانګړي فعال نیمګړتیا لرو - هغه لاره چې غوښتنلیک باید کار ونکړي: پیسې نه لیږدول کیږي، کله چې تاسو په تڼۍ کلیک وکړئ نو بلې پاڼې ته هیڅ لیږد شتون نلري، یا محصول نه پورته کیږي. امنیتي نیمګړتیاوې - دا ورته نیمګړتیاوې دي، مګر د غوښتنلیک عملیاتو شرایطو کې نه، مګر په امنیت کې.
د سافټویر کیفیت ټولې ستونزې امنیتي ستونزې ندي. مګر ټولې امنیتي ستونزې د سافټویر کیفیت پورې اړه لري. شریف منصور، ایکسپیډیا.
څرنګه چې ټول زیانونه یو شان نیمګړتیاوې دي، دوی باید په ورته ځای کې د ټولو پرمختیایي نیمګړتیاوو په څیر واقع وي. نو د راپورونو او ډارونکي PDF په اړه هیر کړئ چې هیڅوک یې نه لوستل.
کله چې زه په پرمختیایی شرکت کې کار کوم، ما د جامد تحلیل وسیلو څخه راپور ترلاسه کړ. ما خلاص کړ، په ویره کې وم، قهوه یې جوړه کړه، د 350 پاڼو پاڼې یې واخیستې، وتړلې او کار ته لاړم. لوی راپورونه د مړو راپورونه دي. معمولا دوی هیڅ ځای ته نه ځي، لیکونه حذف شوي، هیر شوي، ورک شوي، یا سوداګرۍ وايي چې دا خطرونه مني.
چې څه کول پکار دي؟ موږ په ساده ډول تایید شوي نیمګړتیاوې بدلوو چې موږ یې د پراختیا لپاره مناسبه بڼه موندلې، د بیلګې په توګه، موږ یې په جیرا کې په بیکلاګ کې واچوو. موږ نیمګړتیاو ته لومړیتوب ورکوو او د لومړیتوب په ترتیب سره یې له منځه یوسو، د فعالیت نیمګړتیاو او ازموینې نیمګړتیاو سره.
جامد تحلیل - SAST
دا د زیان منونکو لپاره د کوډ تحلیل دی.، مګر دا د سونار کیوب په څیر ندي. موږ یوازې د نمونو یا سټایل لپاره نه ګورو. په تحلیل کې یو شمیر طریقې کارول کیږي: د زیانمنونکي ونې له مخې، په وینا ، د تشکیلاتو فایلونو تحلیل کولو سره. دا ټول هغه څه دي چې پخپله کوډ پورې اړه لري.
د چلند ګټې: د پراختیا په لومړیو مرحلو کې په کوډ کې د زیانمننې پیژندلکله چې لا تر اوسه کوم سټینډ یا چمتو شوي وسایل شتون نلري، او د زیاتیدونکي سکین کولو وړتیا: د کوډ د یوې برخې سکین کول چې بدل شوي، او یوازې هغه ځانګړتیا چې موږ یې اوس کوو، کوم چې د سکین کولو وخت کموي.
Минусы - دا د اړینو ژبو د ملاتړ نشتوالی دی.
اړین ادغام، کوم چې باید په وسیلو کې وي، زما د موضوعي نظر له مخې:
- د ادغام وسیله: جینکنز، ټیم سیټي او ګیټلاب CI.
- د پراختیا چاپیریال: Intellij IDEA، Visual Studio. دا د پراختیا کونکي لپاره خورا اسانه دی چې د نه پوهیدو وړ انٹرفیس ته حرکت ونه کړي چې لاهم یادولو ته اړتیا لري ، مګر ټول اړین ادغام او زیانمننې وګوري چې هغه په خپل پرمختیایي چاپیریال کې د کار ځای کې موندلی.
- د کوډ بیاکتنه: سونار کیوب او لارښود بیاکتنه.
- د عیب تعقیبونکي: جیرا او بګزیلا.
انځور د جامد تحلیل ځینې غوره استازي ښیي.
دا هغه وسیلې ندي چې مهم دي ، مګر پروسه ، نو د خلاصې سرچینې حلونه شتون لري چې د پروسې ازموینې لپاره هم ښه دي.
د SAST خلاص سرچینه به ډیر زیانمنونکي یا پیچلي ډیټا فلوز ونه موندل شي، مګر دوی کولی شي او د پروسې په جوړولو کې باید وکارول شي. دوی د دې په پوهیدو کې مرسته کوي چې پروسه به څنګه رامینځته شي، څوک به بګ ته ځواب ووايي، څوک به راپور ورکړي، او څوک به راپور ورکړي. که تاسو غواړئ د خپل کوډ امنیت رامینځته کولو لومړنۍ مرحله ترسره کړئ ، د خلاصې سرچینې حلونه وکاروئ.
دا څنګه مدغم کیدی شي که تاسو د خپل سفر په پیل کې یاست او هیڅ شی نلرئ: نه CI، نه جینکنز، نه ټیم ښار؟ راځئ چې په پروسه کې ادغام ته پام وکړو.
د CVS کچه ادغام
که تاسو Bitbucket یا GitLab لرئ، تاسو کولی شئ په کچه کې مدغم شئ .
د پیښې له مخې - غوښتنه کول، ژمنه کول تاسو کوډ سکین کړئ او د جوړیدو حالت ښیې چې ایا امنیت چیک تیر شوی یا ناکام شوی.
نظر البته، نظر تل اړین دی. که تاسو یوازې په اړخ کې امنیت کړی وي ، په یوه بکس کې یې واچوئ او هیچا ته یې په اړه څه ونه ویل ، او بیا د میاشتې په پای کې د کیګونو ډنډ ډوب کړئ - دا سمه او ښه نه ده.
د کوډ بیاکتنې سیسټم سره یوځای کول
یوځل، موږ په یو شمیر مهمو پروژو کې د تخنیکي AppSec کاروونکي لپاره د ډیفالټ بیاکتنې په توګه کار وکړ. په دې پورې اړه لري چې ایا په نوي کوډ کې غلطۍ پیژندل شوي یا هیڅ غلطی شتون نلري، بیاکتنه کوونکی د "منلو" یا "کار ته اړتیا" لپاره د پلټ غوښتنې حالت ټاکي - یا هرڅه سم دي، یا هغه لینکونه چې په ریښتیا سره باید ښه شي. باید ښه شي. د هغه نسخې سره د ادغام لپاره چې تولید ته ځي ، موږ د ادغام منع فعال کړی که چیرې د معلوماتو امنیت ازموینه نه وي تیر شوی. موږ دا د لارښود کوډ بیاکتنې کې شامل کړل، او په پروسه کې نورو ګډون کوونکو د دې ځانګړي پروسې لپاره امنیتي حالتونه ولیدل.
د سونار کیوب سره یوځای کول
ډیری لري د کوډ کیفیت له مخې. دا دلته یو شان دی - تاسو کولی شئ ورته دروازې یوازې د SAST وسیلو لپاره جوړ کړئ. ورته انٹرفیس به وي، ورته کیفیت دروازه، یوازې دا به ویل کیږي امنیتي دروازه. او همدارنګه، که تاسو د سونار کیوب په کارولو سره پروسه لرئ، تاسو کولی شئ په اسانۍ سره هلته هرڅه مدغم کړئ.
د CI په کچه ادغام
دلته هرڅه خورا ساده دي:
- د اتوماتیک ازموینې سره مساويد واحد ازموینې.
- د پرمختیایي مرحلو له مخې ویشل: dev، test، prod. د مقرراتو مختلف سیټونه یا مختلف ناکام شرایط پکې شامل کیدی شي: مجلس ودروئ ، مجلس مه بندوئ.
- همغږي/اسینکرونس لانچ. موږ د امنیتي ازموینو پای ته رسیدو ته انتظار باسو که نه. دا چې موږ یوازې دوی پیل کړل او پرمخ ځو، او بیا موږ دا دریځ ترلاسه کوو چې هرڅه ښه یا بد دي.
دا ټول په بشپړ ګلابي نړۍ کې دي. په ریښتیني ژوند کې داسې هیڅ نشته، مګر موږ هڅه کوو. د امنیتي چکونو د چلولو پایله باید د واحد ازموینې پایلو سره ورته وي.
د مثال په توګه، موږ یوه لویه پروژه واخیستله او پریکړه یې وکړه چې اوس به دا د SAST - OK سره سکین کړو. موږ دا پروژه SAST ته واړوله، دې موږ ته 20 زیانونه راکړل او د قوي ارادې پریکړې سره موږ پریکړه وکړه چې هرڅه سم دي. 000 زیانونه زموږ تخنیکي پور دي. موږ به پور په یوه بکس کې واچوو، موږ به ورو ورو دا پاک کړو او د ټریکرانو عیبونو ته کیګونه اضافه کړو. راځئ چې یو شرکت وګمارو، هرڅه پخپله وکړو، یا د امنیت اتلان زموږ سره مرسته وکړي - او تخنیکي پور به کم شي.
او په نوي کوډ کې ټول نوي رامینځته شوي زیانونه باید په ورته ډول له مینځه یوړل شي لکه څنګه چې په یونټ کې یا په اتوماتیک ازموینې کې. په نسبي توګه، مجلس پیل شو، موږ یې وګرځاوه، دوه ازموینې او دوه امنیتي ازموینې ناکامې شوې. سمه - موږ لاړو، وګورو چې څه پیښ شوي، یو شی یې حل کړ، بل یې تنظیم کړ، بل ځل یې وګرځاوه - هرڅه سم وو، هیڅ نوي زیانونه راڅرګند شوي، هیڅ ازموینه ناکامه شوې. که دا دنده ژوره وي او تاسو اړتیا لرئ په دې ښه پوه شئ، یا د زیانونو حل کول د هغه څه لوی پرتونه اغیزه کوي چې د هود لاندې پروت دي: د عیب تعقیب کونکي کې بګ اضافه شوی ، دا لومړیتوب لري او اصلاح کیږي. له بده مرغه، نړۍ کامل نه ده او ازموینې کله ناکله ناکامیږي.
د امنیت دروازې یوه بیلګه د کیفیت دروازې انالوګ دی، په کوډ کې د موجودیت او زیانونو شمیر له مخې.
موږ د سونار کیوب سره مدغم شو - پلگ ان نصب شوی ، هرڅه خورا اسانه او ښه دي.
د پرمختیایي چاپیریال سره یوځای کول
د ادغام اختیارونه:
- د ژمنې دمخه د پراختیا چاپیریال څخه سکین چلول.
- پایلې وګورئ.
- د پایلو تحلیل.
- د سرور سره همغږي کول.
دا هغه څه دي چې داسې ښکاري چې د سرور څخه پایلې ترلاسه کړي.
زموږ د پراختیا په چاپیریال کې یو اضافي توکي په ساده ډول څرګندیږي چې تاسو ته خبر درکوي چې دا ډول زیانونه د سکین پرمهال کشف شوي. تاسو کولی شئ سمدستي کوډ ایډیټ کړئ، سپارښتنې وګورئ او . دا ټول د پراختیا کونکي د کار ځای کې موقعیت لري، کوم چې خورا اسانه دی - د نورو لینکونو تعقیب ته اړتیا نشته او یو څه اضافي وګورئ.
د پرانیستې سرچینه
دا زما د خوښې موضوع ده. هرڅوک د خلاصې سرچینې کتابتونونه کاروي - ولې د کرچونو او بایسکلونو یوه ډله ولیکئ کله چې تاسو یو چمتو شوی کتابتون واخلئ چیرې چې هرڅه دمخه پلي شوي وي؟
البته، دا سمه ده، مګر کتابتونونه هم د خلکو لخوا لیکل شوي، په دوی کې ځینې خطرونه هم شامل دي او داسې زیانونه هم شتون لري چې وخت په وخت یا په دوامداره توګه راپور شوي. له همدې امله ، د غوښتنلیک امنیت کې بل ګام شتون لري - دا د خلاصې سرچینې اجزاو تحلیل دی.
د خلاصې سرچینې تحلیل - OSA
دا وسیله درې لوی مرحلې لري.
په کتابتونونو کې د زیانونو لټون. د مثال په توګه، وسیله پوهیږي چې موږ یو څه کتابتون کاروو، او دا په کې یا په بګ ټریکرونو کې ځینې زیانونه شتون لري چې د کتابتون له دې نسخې سره تړاو لري. کله چې تاسو د دې کارولو هڅه وکړئ، وسیله به یو خبرداری خپور کړي چې کتابتون زیان منونکی دی او تاسو ته مشوره درکوي چې بله نسخه وکاروئ چې زیانونه نلري.
د جواز د پاکوالي تحلیل. دا لا تر اوسه دلته په ځانګړي ډول مشهور نه دی، مګر که تاسو په بهر کې کار کوئ، نو وخت په وخت تاسو کولی شئ هلته د خلاصې سرچینې برخې کارولو لپاره مالیه ترلاسه کړئ چې نشي کارول کیدی یا بدلون ومومي. د جواز لرونکي کتابتون د پالیسۍ له مخې، موږ دا کار نشو کولی. یا، که موږ دا تعدیل کړو او وکاروو، موږ باید خپل کوډ پوسټ کړو. البته، هیڅوک نه غواړي د خپلو محصولاتو کوډ خپور کړي، مګر تاسو کولی شئ له دې څخه ځان وساتئ.
د اجزاو تحلیل چې په صنعتي چاپیریال کې کارول کیږي. راځئ چې یو فرضي وضعیت تصور کړو چې موږ په پای کې پرمختګ بشپړ کړی او زموږ د مایکروسافټ وروستي خوشې کول مو خپاره کړي دي. هغه هلته په حیرانتیا سره ژوند کوي - یوه اونۍ، یوه میاشت، یو کال. موږ دا نه راټولوو، موږ د خوندیتوب معاینات نه کوو، هرڅه سم ښکاري. مګر ناڅاپه، د خوشې کیدو دوه اونۍ وروسته، د خلاصې سرچینې برخې کې یو مهم زیان منونکي ښکاري، کوم چې موږ په صنعتي چاپیریال کې په دې ځانګړي جوړښت کې کاروو. که موږ هغه څه ثبت نه کړو چې او چیرې یې کاروو، نو موږ به په ساده ډول دا زیان ونه ګورو. ځینې وسیلې د دې وړتیا لري چې په کتابتونونو کې د زیانونو څارنه وکړي چې اوس مهال په صنعت کې کارول کیږي. دا خورا ګټور دی.
ځانګړتیاوې:
- د پرمختګ مختلف پړاوونو لپاره مختلف پالیسۍ.
- په صنعتي چاپیریال کې د اجزاو څارنه.
- په سازمان کې د کتابتونونو کنټرول.
- د مختلف جوړونې سیسټمونو او ژبو لپاره ملاتړ.
- د ډاکر عکسونو تحلیل.
د صنعت مشرانو یو څو مثالونه چې د خلاصې سرچینې تحلیل کې بوخت دي.
یوازینی وړیا دا دی د OWASP څخه. تاسو کولی شئ دا په لومړیو مرحلو کې فعال کړئ، وګورئ چې دا څنګه کار کوي او څه شی یې ملاتړ کوي. اساسا ، دا ټول د بادل محصولات دي ، یا په اساس ، مګر د دوی د اډې شاته دوی لاهم انټرنیټ ته لیږل کیږي. دوی ستاسو کتابتونونه نه، بلکې هش یا خپل ارزښتونه لیږي، کوم چې دوی محاسبه کوي، او د ګوتو نښې د دوی سرور ته د زیانونو د شتون په اړه معلومات ترلاسه کوي.
د پروسې ادغام
د کتابتونونو د احاطې کنټرول، کوم چې د بهرنیو سرچینو څخه ډاونلوډ شوي دي. موږ بهرني او داخلي ذخیره لرو. د مثال په توګه، د پیښې مرکزي Nexus پرمخ وړي، او موږ غواړو ډاډ ترلاسه کړو چې زموږ په ذخیره کې د "نازک" یا "لوړ" حالت سره هیڅ زیان شتون نلري. تاسو کولی شئ د Nexus Firewall Lifecycle وسیلې په کارولو سره پراکسي تنظیم کړئ ترڅو دا ډول زیانونه له مینځه ویسي او په داخلي ذخیره کې پای ته ونه رسیږي.
په CI کې ادغام. په ورته کچه د آټوټسټس، واحد ازموینې او د پراختیا مرحلو ویشلو سره: dev، test، prod. په هر پړاو کې، تاسو کولی شئ کوم کتابتونونه ډاونلوډ کړئ، هر څه وکاروئ، مګر که چیرې د "نازک" حالت سره یو څه سخت وي، شاید دا د تولید لپاره د خوشې کولو په مرحله کې د پراختیا کونکو پام ځانته راجلب کړي.
د هنري اثارو سره یوځای کول: Nexus او JFrog.
په پرمختیایي چاپیریال کې ادغام. هغه وسیلې چې تاسو یې غوره کوئ باید د پراختیا چاپیریال سره ادغام ولري. پراختیا کونکی باید د خپل کار ځای څخه د سکین کولو پایلو ته لاسرسی ولري ، یا CVS ته د ژمن کیدو دمخه د زیانونو لپاره پخپله کوډ سکین او چیک کولو وړتیا ولري.
د CD ادغام. دا یو ښه خصوصیت دی چې زه واقعیا خوښوم او کوم چې ما دمخه په اړه خبرې کړې دي - په صنعتي چاپیریال کې د نوي زیانونو رامینځته کیدو څارنه. دا د دې په څیر یو څه کار کوي.
مونږیۍ لرو د عامه اجزاوو ذخیره - ځینې وسیلې بهر، او زموږ داخلي ذخیره. موږ غواړو چې دا یوازې باوري برخې ولري. کله چې د غوښتنې پراکسي کول، موږ ګورو چې ډاونلوډ شوی کتابتون زیانونه نلري. که دا د ځانګړو پالیسیو لاندې راشي چې موږ یې تنظیم کوو او اړینه د پراختیا سره همغږي کوو، نو بیا موږ دا اپلوډ نه کوو او د بلې نسخې کارولو ته هڅول کیږي. په دې اساس، که چیرې په کتابتون کې واقعیا یو څه مهم او خراب وي، نو بیا جوړونکي به د نصب کولو په مرحله کې کتابتون ترلاسه نکړي - اجازه راکړئ چې لوړه یا ټیټه نسخه وکاروي.
- کله چې جوړ شي، موږ ګورو چې هیڅوک هیڅ شی خراب نه دی کړی، دا چې ټولې برخې خوندي دي او هیچا په فلش ډرایو کې کوم خطرناک نه دی راوړی.
- موږ یوازې په ذخیره کې باوري برخې لرو.
- کله چې ځای په ځای کول، موږ یوځل بیا پخپله کڅوړه ګورو: جنګ، جار، DL یا ډاکر انځور ترڅو ډاډ ترلاسه شي چې دا د پالیسۍ سره مطابقت لري.
- کله چې صنعت ته ننوځو، موږ څارنه کوو چې په صنعتي چاپیریال کې څه پیښیږي: مهم زیان منونکي څرګندیږي یا نه ښکاري.
متحرک تحلیل - DAST
د متحرک تحلیل وسیلې په بنسټیز ډول د هر هغه څه څخه توپیر لري چې مخکې ویل شوي. دا د غوښتنلیک سره د کارونکي کار یو ډول تقلید دی. که دا یو ویب غوښتنلیک وي، موږ غوښتنې لیږو، د پیرودونکي کار سمولو، په مخ کې بټن باندې کلیک وکړئ، د فورمې څخه مصنوعي ډاټا لیږئ: نرخونه، بریکٹونه، په مختلف کوډونو کې حروف، د دې لپاره چې وګورئ چې غوښتنلیک څنګه کار کوي او پروسې کوي. بهرني معلومات.
ورته سیسټم تاسو ته اجازه درکوي په خلاص سرچینه کې د ټیمپلیټ زیانونه چیک کړئ. څرنګه چې DAST نه پوهیږي چې موږ کومه خلاص سرچینه کاروو، دا په ساده ډول "ناوړه" نمونې غورځوي او د سرور ځوابونه تحلیلوي:
- هو، دلته د سیریل کولو ستونزه ده، مګر دلته نه.
پدې کې لوی خطرونه شتون لري ، ځکه چې که تاسو دا امنیتي ازموینه په ورته بنچ کې ترسره کړئ چې ازموینه کونکي ورسره کار کوي ، ناخوښه شیان پیښ کیدی شي.
- د غوښتنلیک سرور شبکه کې لوړ بار.
- نه ادغام.
- د تحلیل شوي غوښتنلیک تنظیماتو بدلولو وړتیا.
- د اړینو ټیکنالوژیو لپاره هیڅ ملاتړ نشته.
- د تنظیم کولو مشکل.
موږ یو وضعیت درلود کله چې موږ بالاخره اپ سکین پیل کړ: موږ ډیر وخت تیر کړ چې غوښتنلیک ته لاسرسی ومومئ ، 3 حسابونه مو ترلاسه کړل او خوښ وو - موږ به په پای کې هرڅه وګورو! موږ یو سکین پیل کړ، او لومړی شی چې AppScan یې ترسره کړ د اډمین پینل ته لاړ، ټولې بټونه سوري کړئ، نیمایي ډاټا بدل کړئ، او بیا یې په بشپړ ډول د دې سره سرور وژني. - غوښتنې. د ازموینې سره پرمختګ وویل:
- هلکانو، تاسو ما سره ټوکې کوئ؟! موږ تاسو ته حسابونه درکړل، او تاسو یو موقف جوړ کړ!
احتمالي خطرونو ته پام وکړئ. په مثالي توګه ، د معلوماتو امنیت ازموینې لپاره جلا سټینډ چمتو کړئ ، کوم چې به لږترلږه یو څه د پاتې چاپیریال څخه جلا وي ، او په مشروط ډول د اډمین پینل چیک کړئ ، په غوره توګه په لارښود حالت کې. دا یو پینټیسټ دی - د هڅو پاتې سلنه چې موږ یې اوس په پام کې نه نیسو.
دا په پام کې نیولو سره ارزښت لري چې تاسو کولی شئ دا د بار ازموینې انلاګ په توګه وکاروئ. په لومړي مرحله کې، تاسو کولی شئ د 10-15 تارونو سره یو متحرک سکینر وګرځوئ او وګورئ چې څه پیښیږي، مګر معمولا، لکه څنګه چې تمرین ښیي، هیڅ ښه نه وي.
یو څو سرچینې چې موږ یې معمولا کاروو.
د روښانه کولو وړ د هر امنیتي مسلکي لپاره "سویس چاقو" دی. هرڅوک یې کاروي او دا خورا اسانه دی. د تصدۍ نسخه نوې ډیمو نسخه اوس خپره شوې. که مخکې دا یوازې د پلگ انونو سره یوازینۍ یوټیلټي و، اوس پراختیا کونکي په پای کې یو لوی سرور رامینځته کوي چې له هغې څخه به د ډیری اجنټانو اداره کول ممکن وي. دا ښه دی، زه وړاندیز کوم چې تاسو یې هڅه وکړئ.
د پروسې ادغام
ادغام خورا ښه او ساده کیږي: د بریالي نصب کولو وروسته سکین کول پیل کړئ د موقف لپاره غوښتنلیکونه او د بریالي ادغام ازموینې وروسته سکین کول.
که ادغام کار ونکړي یا سټیبونه او جعلي افعال شتون ولري ، دا بې معنی او بې ګټې دی - مهمه نده چې موږ کومه نمونه لیږو ، سرور به لاهم ورته ځواب ووایی.
- په مثالي توګه، د ازموینې جلا موقف.
- د ازموینې دمخه، د ننوتلو ترتیب ولیکئ.
- د ادارې سیسټم ازموینه یوازې لاسي ده.
پروسه
په عمومي توګه د پروسې او په ځانګړې توګه د هرې وسیلې د کار په اړه لږ څه عمومي. ټول غوښتنلیکونه توپیر لري - یو د متحرک تحلیل سره ښه کار کوي، بل د جامد تحلیل سره، دریم د OpenSource تحلیل سره، پینټیسټس، یا بل څه، د بیلګې په توګه، پیښې سره. .
هره پروسه کنټرول ته اړتیا لري.
د دې لپاره چې پوه شئ چې پروسه څنګه کار کوي او چیرې دا ښه کیدی شي، تاسو اړتیا لرئ د هر هغه څه څخه میټریکونه راټول کړئ چې تاسو یې لاس ته راوړئ، په شمول د تولید میټریکونه، د وسیلو میټریکونه، او د عیب تعقیبونکو څخه.
هر معلومات ګټور دي. دا اړینه ده چې د مختلف زاویو څخه وګورو چې چیرې دا یا هغه وسیله غوره کارول کیږي، چیرته چې پروسه په ځانګړې توګه کمیږي. دا ممکن د پراختیا غبرګون وختونو ته د کتلو ارزښت ولري ترڅو وګورئ چې چیرې د وخت پراساس پروسې ته وده ورکول کیږي. څومره چې معلومات ډیر وي، د هرې پروسې توضیحاتو ته د لوړې کچې څخه ډیرې برخې جوړې کیدی شي.
څرنګه چې ټول جامد او متحرک شنونکي خپل APIs لري، د دوی د لانچ میتودونه، اصول، ځینې یې مهالویش لري، نور یې نه لري - موږ یوه وسیله لیکو د AppSec آرکیسټرټر، کوم چې تاسو ته اجازه درکوي د محصول څخه ټولې پروسې ته د ننوتلو یو واحد نقطه رامینځته کړئ او له یوې نقطې څخه یې اداره کړئ.
مدیران، پراختیا کونکي او امنیتي انجینران د ننوتلو یوه نقطه لري چې له هغې څخه دوی کولی شي وګوري چې څه روان دي، سکین ترتیب او چلوي، د سکین پایلې ترلاسه کړي، او اړتیاوې وړاندې کړي. موږ هڅه کوو چې د کاغذ کار څخه لیرې شو، هر څه په انسان کې وژباړو، کوم چې د پراختیا لخوا کارول کیږي - د وضعیت او میټریکونو سره د انسجام مخونه، په جیرا کې نیمګړتیاوې یا په مختلفو عیبونو تعقیبونکو کې، یا په CI کې په همغږي / غیر متناسب پروسې کې ادغام /CD
کلیدي ټکي
وسایل اصلي شی نه دي. لومړی د پروسې له لارې فکر وکړئ - بیا وسیلې پلي کړئ. وسایل ښه دي مګر ګران دي، نو تاسو کولی شئ د پروسې سره پیل کړئ او د پراختیا او امنیت ترمنځ ارتباط او تفاهم رامینځته کړئ. د خوندیتوب له نظره، اړتیا نشته چې هر څه "بند" کړئ، د پراختیا له نظره، که چیرې یو څه لوړ میګا خورا مهم وي، نو دا باید له منځه یوړل شي، او ستونزې ته سترګې پټې نه کړي.
د محصول کیفیت - ګډ هدف امنیت او پرمختګ دواړه. موږ یو کار کوو، موږ هڅه کوو ډاډ ترلاسه کړو چې هرڅه سم کار کوي او د شهرت خطرونه یا مالي زیانونه شتون نلري. له همدې امله موږ د مخابراتو ښه کولو او د محصول کیفیت ښه کولو لپاره د DevSecOps، SecDevOps چلند ته وده ورکوو.
د هغه څه سره پیل کړئ چې تاسو یې دمخه لرئ: اړتیاوې، جوړښت، جزوی چکونه، روزنې، لارښوونې. اړتیا نشته چې سمدستي په ټولو پروژو کې ټول عملونه پلي کړئ - په تکراري توګه حرکت وکړئ. هیڅ یو معیار نشته - تجربه او د مختلفو طریقو او حلونو هڅه وکړئ.
د معلوماتو د خوندیتوب نیمګړتیاو او کاري نیمګړتیاوو ترمنځ مساوي نښه شتون لري.
هرڅه اتومات کړئچې حرکت کوي. هر هغه څه چې حرکت نه کوي، حرکت یې کړئ او اتومات یې کړئ. که یو څه د لاس په واسطه ترسره شي، دا د پروسې ښه برخه نه ده. شاید دا د بیاکتنې ارزښت لري او هم یې اتومات کړي.
که چیرې د داعش ډلې اندازه کوچنۍ وي - د امنیت اتلانو وکاروئ.
شاید هغه څه چې ما په اړه خبرې وکړې هغه به تاسو ته مناسب نه وي او تاسو به د خپل یو څه سره راشئ - او دا ښه دی. خو ستاسو د پروسې لپاره د اړتیاو پراساس وسایل غوره کړئ. دې ته مه ګورئ چې ټولنه څه وايي چې دا وسیله بده ده او دا ښه ده. شاید برعکس ستاسو د محصول لپاره ریښتیا وي.
د وسایلو لپاره اړتیاوې.
- ټیټه کچه غلط مثبت.
- د تحلیل مناسب وخت.
- د کار آسانتیاوې.
- د ادغام شتون.
- د محصول پراختیا سړک نقشه پوهیدل.
- د وسیلو دودیز کولو امکان.
د یوري راپور په DevOpsConf 2018 کې یو له غوره څخه غوره شوی و. د نورو په زړه پورې نظرونو او عملي قضیو سره آشنا کیدو لپاره، د می په 27 او 28 Skolkovo ته راشئ دننه . لا ښه، که تاسو چمتو یاست چې خپلې تجربې شریکې کړئ، نو بیا د راپور لپاره د اپریل تر 21 پورې.
سرچینه: www.habr.com