Waxaan haysanay 2 code analyzer, 4 qalab tijaabo ah oo firfircoon, farshaxanno noo gaar ah iyo 250 qoraal ah. Ma ahan in waxaas oo dhan loo baahan yahay habka hadda socda, laakiin marka aad bilowdo fulinta DevSecOps, waa inaad aadaa dhamaadka.
. Abuurayaasha jilayaasha: Justin Roiland iyo Dan Harmon.
Waa maxay SecDevOps? Ka waran DevSecOps? Maxay ku kala duwan yihiin? Ammaanka Codsiga - waa maxay ku saabsan? Waa maxay sababta habka caadiga ah aanu u shaqaynayn? Wuxuu garanayaa jawaabta su'aalahan oo dhan Yuri Shabalin ka Amniga Swordfish. Yuri wuxuu si faahfaahsan uga jawaabi doonaa wax walba oo wuxuu falanqeynayaa dhibaatooyinka kala guurka moodada Amniga Codsiga qadiimiga ah ee habka DevSecOps: sida saxda ah ee loo wajaho is dhexgalka habka horumarinta aaminka ah ee habka DevOps oo aan waxba jebin, sida loo maro marxaladaha ugu muhiimsan Imtixaanka amniga, agabka la isticmaali karo, iyo waxa ay ku kala duwan yihiin iyo sida saxda ah ee loo habeeyo si looga fogaado khadadka.
Ku saabsan afhayeenka: Yuri Shabalin - Madaxa Amniga ee shirkadda Amniga Swordfish. Mas'uul ka ah hirgelinta SSDL, isku dhafka guud ee qalabka falanqaynta codsiga ee horumarinta midaysan iyo tijaabinta nidaamka deegaanka. 7 sano oo waayo-aragnimo ah xagga amniga macluumaadka. Waxa uu ka shaqeeyay Alfa-Bank, Sberbank iyo Teknolojiyadda togan, kuwaas oo soo saara software-ka bixiyana adeegyada. Ka hadal shirarka caalamiga ah ZerONights, PHDays, RISSPA, OWASP.
Ammaanka Codsiga: maxaa ku saabsan?
Amniga Codsiga - Tani waa qaybta amniga ee mas'uul ka ah amniga codsiga. Tani ma khusayso kaabayaasha ama amniga shabakadda, laakiin halkii ay ku habboon tahay waxa aan qorno iyo waxa horumariyayaashu ka shaqeeyaan - kuwani waa cilladaha iyo dayacanka arjiga laftiisa.
Jihada - meertada nolosha horumarka amniga - waxaa soo saaray Microsoft. Jaantusku wuxuu muujinayaa qaabka SDLC ee canonical, hawsha ugu weyn ee taas oo ah ka-qaybgalka amniga marxalad kasta oo horumarineed, laga bilaabo shuruudaha si loo sii daayo iyo wax soo saarka. Microsoft waxay ogaatay in ay jiraan cayayaan badan oo ku jira warshadaha, waxaa jiray qaar badan oo iyaga ka mid ah oo ay ahayd in wax laga qabto, waxayna soo jeediyeen habkan, kaas oo noqday mid caan ah.
Codsiga Amniga iyo SSDL ujeedadoodu maaha in la ogaado dayacanka, sida la aaminsan yahay, laakiin waa in laga hortago dhacdooyinkooda. Muddo ka dib, habka canonical ee Microsoft waa la wanaajiyey, la horumariyay, waxaana loo soo bandhigay qoto dheer, quusitaan faahfaahsan.
Kanonical SDLC ayaa si heer sare ah loogu faahfaahiyay habab kala duwan - OpenSAMM, BSIMM, OWASP. Hababka waa kala duwan yihiin, laakiin guud ahaan waa la mid.
Amniga Dhismaha Qaabka Qaan-gaadhka
Aad ayaan uga helay BSIMM - . Saldhigga hab-raacu waa u qaybinta habka Amniga Codsiga oo loo qaybiyo 4 qaybood: Maamulka, Sirdoonka, SSDL Touchpoints iyo Deployment. Goob kastaa waxay leedahay 12 hab-dhaqan, kuwaas oo lagu matalo 112 hawlood.
Mid kasta oo ka mid ah 112 hawlood ayaa leh 3 heerar qaangaadhnimo: bilow, dhexe iyo sare. Waxaad ku baran kartaa dhammaan 12-ka hab-dhaqan ee qayb qayb, dooro waxyaabaha muhiimka kuu ah, qiyaas sida loo hirgeliyo oo si tartiib tartiib ah ugu dar waxyaabo, tusaale ahaan, falanqaynta koodka taagan iyo firfircoonida ama dib u eegista code. Waxaad qortaa qorshe oo si deggan u shaqeyso sida uu yahay qayb ka mid ah fulinta hawlaha la doortay.
Waa maxay sababta DevSecOps
DevOps waa hab guud oo ballaaran oo ay tahay in amniga lagu xisaabtamo.
Markii hore ku lug leh hubinta amniga. Ficil ahaan, tirada kooxaha ammaanku aad ayay uga yaraayeen hadda, mana u dhaqmin sidii ka qaybqaatayaasha geeddi-socodka, laakiin sidii hay'ad xakameyn iyo kormeer oo shuruudo ku soo rogtay oo hubinaysa tayada badeecada dhammaadka sii-deynta. Tani waa hab caadi ah oo kooxaha amnigu ay ka danbeeyeen darbiga horumarka oo aanay ka qayb qaadan hawsha.
Dhibaatada ugu weyni waa in amniga macluumaadka uu ka duwan yahay horumarka. Caadi ahaan tani waa nooc ka mid ah wareegga amniga macluumaadka waxayna ka kooban tahay 2-3 qalab oo waaweyn oo qaali ah. Lixdii biloodba hal mar, code code ama codsiga u baahan in la hubiyo ayaa yimaada, sannadkiina hal mar ayaa la soo saaraa . Dhammaan tani waxay keenaysaa xaqiiqda ah in taariikhda la sii daayo ee warshadaha dib loo dhigo, iyo horumariyayaashu waxay soo bandhigayaan tiro aad u badan oo dayacan oo ka yimaada qalabka iswada. Suurtagal ma aha in la kala diro oo la dayactiro waxaas oo dhan, sababtoo ah natiijadii lixdii bilood ee hore lama xalin, laakiin halkan waa qayb cusub.
Inta lagu jiro shaqada shirkadeena, waxaan aragnaa in amniga dhammaan dhinacyada iyo warshadaha ay fahmaan in la joogo waqtigii la qabsan lahaa oo la wareegi lahaa horumarinta isku mid ah - in . Qaabka DevSecOps wuxuu si fiican ugu habboon yahay habka horumarinta agile, hirgelinta, taageerada iyo ka qaybgalka siideyn kasta iyo soo noqnoqosho kasta.
U gudubka DevSecOps
Erayga ugu muhiimsan ee Nolosha Horumarka Nabadgelyadu waa " geedi socodka ". Waa in aad fahanto tan ka hor inta aanad ka fikirin iibsashada qalabka.
Kaliya ku darista aaladaha nidaamka DevOps kuma filna β xidhiidhka iyo isfahamka ka dhexeeya ka qaybgalayaasha habsocodka waa muhiim.
Dadku waa ka muhiimsan yihiin, maaha qalab.
Inta badan, qorshaynta hab horumarineed oo sugan waxay ku bilaabataa doorashada iyo iibsashada aaladda, waxayna ku dhammaataa isku dayga in qalabka lagu dhex daro habka hadda socda, kaas oo ah isku dayo. Tani waxay keenaysaa cawaaqib xumo, sababtoo ah dhammaan qalabyada waxay leeyihiin sifooyinkooda iyo xaddidaaddooda.
Kiis caadi ah ayaa ah markii waaxda amnigu ay dooratay qalab wanaagsan oo qaali ah oo leh awood ballaaran, oo ay u timid horumariyeyaasha si ay u dhexgalaan geeddi-socodka. Laakiin ma shaqeyneyso - geeddi-socodku wuxuu u qaabaysan yahay si aan xaddidaadda qalabkii hore loo iibsaday aysan ku habboonayn jaantuska hadda jira.
Marka hore, sharax natiijada aad rabto iyo habka uu u ekaan doono. Tani waxay kaa caawin doontaa fahamka doorka qalabka iyo badbaadada ee habka.
Ka bilow waxa horay loo isticmaalay
Kahor intaadan iibsan qalabka qaaliga ah, fiiri waxaad horey u heysatay. Shirkad kastaa waxay leedahay shuruudaha amniga ee horumarinta, waxaa jira jeegag, pentests - maxaad waxan oo dhan u beddelin qaab la fahmi karo oo ku habboon qof kasta?
Caadi ahaan shuruuduhu waa warqad Talmud oo ku dul jiifta shelf. Waxaa jirtay kiis markii aan u nimid shirkad si aan u eegno hababka oo aan waydiisanno inaan aragno shuruudaha amniga software-ka. Khabiirkii arrintan wax ka qabtay waxa uu wakhti dheer raadinayay:
- Hadda, meel ka mid ah qoraallada waxaa jiray waddo uu dukumeentigani been yahay.
Natiijo ahaan, waxaan helnay dukumeenti usbuuc ka dib.
Shuruudaha, jeegaga iyo waxyaabo kale, ku samee bog tusaale ahaan. Qosol - way ku habboon tahay qof kasta.
Way fududahay inaad dib u habayn ku samayso waxaad hore u haysatid oo aad u isticmaasho si aad u bilowdo.
Adeegso Champions League
Caadi ahaan, celcelis ahaan shirkad leh 100-200 horumariye, waxaa jira hal ku takhasusay amniga oo qabta hawlo badan oo aan jir ahaan haysan waqti uu ku hubiyo wax walba. Xitaa haddii uu isku dayo sida ugu fiican, kaligiis ma hubin doono dhammaan koodka uu horumarku soo saaro. Xaaladahan oo kale, fikrad ayaa la sameeyay - .
Ciyaartoyga ammaanku waa dadka ka tirsan kooxda horumarinta kuwaas oo xiisaynaya amniga alaabtaada.
Horyaalka Amnigu waa barta laga soo galo kooxda horumarinta iyo wacdiye ammaan oo mid la galiyay.
Caadi ahaan, marka khabiirka amniga uu u yimaado kooxda horumarinta oo uu tilmaamayo qaladka koodka, wuxuu helaa jawaab la yaab leh:
- Oo yaad tahay? waan ku arkayaa markii ugu horeysay. Wax walba waa igu fiican yihiin - saaxiibkay sare wuxuu i siiyay "codso" dib u eegista koodka, waan sii soconaa!
Tani waa xaalad caadi ah, sababtoo ah waxaa jira kalsooni badan oo lagu qabo waayeelka ama si fudud saaxiibada kuwaas oo horumariyahu si joogto ah ula falgalo shaqada iyo dib u eegista code. Haddii, halkii uu ka ahaan lahaa sarkaalka amniga, Horjoogaha Amnigu uu tilmaamayo khaladka iyo cawaaqibka, markaa eraygiisu wuxuu yeelan doonaa miisaan badan.
Sidoo kale, horumariyayaashu way ka yaqaanaan koodkooda si ka wanaagsan qof kasta oo ku takhasusay amniga. Qofka haysta ugu yaraan 5 mashruuc oo ku jira qalab falanqaynta taagan, badanaa way adagtahay in la xasuusto dhammaan nuancesyada. Ciyaartoyga ammaanku way yaqaaniin badeecadooda: waxa la falgala waxa iyo waxa la eegayo marka hore - way ka waxtar badan yihiin.
Markaa ka fiirso hirgelinta Champions League oo aad balaadhiso saamaynta kooxdaada amniga. Tani waxay sidoo kale faa'iido u leedahay horyaalka laftiisa: horumarinta xirfadeed ee goob cusub, ballaarinta aragtidiisa farsamada, kor u qaadista xirfadaha farsamada, maamulka iyo hogaaminta, kordhinta qiimaha suuqa. Tani waa qayb ka mid ah injineernimada bulshada, "indhahaaga" ee kooxda horumarinta.
Marxaladaha tijaabada
ayaa sheegay in 20% dadaalka uu keeno 80% natiijooyinka. 20%-kan waa hab-dhaqannada falanqaynta arji oo kara oo ay tahay in si toos ah loo sameeyo. Tusaalooyinka hawlahan oo kale waa falanqaynta taagan - XIGASHO, falanqayn firfircoon - DAST ΠΈ Xakamaynta Isha furan. Waxaan si faahfaahsan kaaga sheegi doonaa waxqabadyada, iyo sidoo kale qalabka, sifooyinka aan inta badan la kulanno marka aan soo bandhigno habka, iyo sida saxda ah ee loo sameeyo.
Dhibaatooyinka ugu muhiimsan ee qalabka
Waxaan muujin doonaa dhibaatooyinka khuseeya dhammaan qalabka oo u baahan feejignaan. Waxaan si faahfaahsan u lafo-gurayaa si aan dib loogu celin.
Waqtiga falanqaynta dheer. Haddii ka go'an in la sii daayo ay qaadato 30 daqiiqo dhammaan imtixaanada iyo isu imaatinka, markaas hubinta amniga macluumaadka waxay qaadan doontaa maalin. Markaa qofna ma gaabin doono hawsha. Sifadan xisaabta ku darso oo gunaanad
Heer sare Been Negative ama Been Togan. Dhammaan alaabadu way kala duwan yihiin, dhammaantood waxay isticmaalaan qaabab kala duwan iyo qaab kood u gaar ah. Saldhigyo kood iyo teknooloji oo kala duwan, qalabku waxa uu muujin karaa heerar kala duwan oo ah beenta xun iyo beenta. Markaa fiiri waxa dhabta ah ee ku jira adiga shirkadaha iyo adiga Codsiyada ayaa muujin doona natiijooyin wanaagsan oo la isku halleyn karo.
Ma jiro isku-dhafka qalabka jira. U fiirso aaladaha marka la eego la qabsiga waxaad hore u isticmaashay. Tusaale ahaan, haddii aad leedahay Jenkins ama TeamCity, hubi isku-dhafka qalabka software-kan, oo ha ku xidhin GitLab CI, oo aadan isticmaalin.
La'aanta ama kakanaanta xad dhaafka ah ee habaynta. Haddii qalabku aanu lahayn API, markaa maxaa loogu baahan yahay? Wax kasta oo lagu samayn karo interface waa in laga heli karaa API-ga. Fikrad ahaan, qalabku waa inuu lahaadaa awood uu ku habeeyo jeegaga.
Ma jiro Khariidad Horumarineed oo Badeeco ah. Horumarintu ma istaagto, waxaan had iyo jeer isticmaaleynaa qaabab cusub iyo howlo, dib u qorista koodkii hore ee luqado cusub. Waxaan rabnaa inaan hubinno in qalabka aan iibsaneyno uu taageeri doono qaab-dhismeedka iyo teknoolojiyadda cusub. Sidaa darteed, waxaa muhiim ah in la ogaado in alaabtu leedahay mid dhab ah oo sax ah horumarin.
Astaamaha habka
Marka lagu daro sifooyinka qalabka, tixgeli sifooyinka habka horumarinta. Tusaale ahaan, hor istaagida horumarka waa khalad caadi ah. Aynu eegno sifooyinka kale ee ay tahay in lagu xisaabtamo iyo waxa ay tahay in kooxda ammaanku fiiro gaar ah u yeelato.
Si aan loo seegin horumarka iyo sii deynta waqtiyada kama dambaysta ah, abuur xeerar kala duwan oo kala duwan tusi joojin - shuruudaha joojinta geeddi-socodka dhisidda iyadoo ay jiraan dayacan- Deegaano kala duwan. Tusaale ahaan, waxaan fahamsanahay in laanta hadda jirta ay aado goobta horumarinta ama UAT, taas oo macnaheedu yahay ma joojineyno oo nidhaahno:
"Halkan waxaad leedahay nuglaanta, ma aadi doontid meel kale!"
Halkaa marka ay marayso, waxaa muhiim ah in loo sheego horumarinta in ay jiraan arrimo amni oo u baahan feejignaan.
Jiritaanka baylahdu maaha caqabad ku ah baaritaan dheeraad ah: buug-gacmeedka, is-dhexgalka ama buug-gacmeedka. Dhanka kale, waxaan u baahanahay inaan si uun u kordhino amniga alaabta, iyo si aysan horumariyayaashu u dayacin waxa ay u arkaan inay badbaado yihiin. Sidaa darteed, mararka qaarkood waxaan sameynaa sidan: Istaagga, marka loo soo rogo deegaanka horumarinta, waxaan si fudud u ogeysiineynaa horumarka:
- Guys, waxaad haysataa dhibaatooyin, fadlan u fiirso iyaga.
Marxaladda UAT waxaan mar kale muujinaa digniino ku saabsan dayacanka, iyo marxaladda sii deynta waxaan dhahnaa:
- Nimanyahow, dhawr jeer ayaanu idiin dignay, waxba ma aad samayn - ku dayn mayno arrintan.
Haddii aan ka hadalno koodka iyo dhaqdhaqaaqa, markaa waa lagama maarmaan in la muujiyo oo laga digtoonaado dayacanka kaliya ee sifooyinkaas iyo koodka kaliya ee lagu qoray habkan. Haddii horumariye u dhaqaaqo badhanka 3 pixels oo aanu u sheegno inuu ku duray SQL halkaas oo uu u baahan yahay in si degdeg ah loo hagaajiyo, tani waa khalad. Bal u fiirso waxa hadda qoran iyo isbeddelka ku yimaadda codsiga.
Aynu nidhaahno waxaan leenahay cillad shaqo oo gaar ah - habka codsiga waa inuusan u shaqeyn: lacagta lama wareejinayo, markaad gujiso batoonka ma jiro u gudub bogga xiga, ama alaabtu ma soo shubto. Cilladaha Ammaanka - kuwani waa cillado isku mid ah, laakiin maaha marka la eego hawlgalka codsiga, laakiin amniga.
Dhammaan dhibaatooyinka tayada software ma aha dhibaatooyinka amniga. Laakiin dhammaan dhibaatooyinka amniga waxay la xiriiraan tayada software. Shariif Mansuur, Expedia.
Maadaama dhammaan baylahdu ay yihiin cillado isku mid ah, waa inay ku yaalliin isla meel ay ku jiraan dhammaan cilladaha horumarinta. Markaa iska ilow warbixinnada iyo PDF-yada cabsida leh ee aan qofna akhriyin.
Markii aan ka shaqeynayey shirkad horumarineed, waxaan ka helay warbixin ka timid aaladaha falanqaynta static. Waan furay, waan argagaxay, kafeega kafeega ayaan sameeyay, waxaan ka daayay 350 bog, waan xidhay oo shaqada sii watay. Warbixino waaweyn ayaa ah warar dhintay. Caadi ahaan meelna ma tagaan, xarfaha waa la tirtiraa, la ilaaway, lumay, ama ganacsigu wuxuu sheegay in uu aqbalayo khatarta.
Maxaa la sameeyaa? Waxaan si fudud u beddelnaa cilladaha la xaqiijiyey ee aan ka helnay qaab ku habboon horumarka, tusaale ahaan, waxaan ku dhejineynaa dib u dhac gudaha Jira. Waxaan mudnaanta siinaa cilladaha waxaanan baabi'innaa siday u kala horreeyaan, oo ay weheliyaan cilladaha shaqada iyo cilladaha tijaabada.
Falanqaynta Joogtada ah - SAST
Tani waa falanqaynta koodhka ee dayacanka., laakiin la mid ma aha SonarQube. Ma hubinno kaliya qaababka ama qaabka. Tiro habab ah ayaa loo adeegsadaa falanqaynta: marka loo eego geedka baylahda, marka loo eego , iyadoo la falanqeynayo faylasha qaabeynta. Tani waa waxa kaliya ee khuseeya koodhka laftiisa.
Faa'iidooyinka habka: aqoonsiga nuglaanta koodka marxaladda hore ee horumarkamarka aan weli la helin taako ama qalab diyaarsan, iyo awoodda iskaanka kordhinta: iskaanka qayb ka mid ah koodka oo isbedelay, oo kaliya muuqaalka aan hadda samaynayno, kaas oo yareeya wakhtiga iskaanka.
Minusa - tani waa taageero la'aanta luqadaha lagama maarmaanka ah.
Is dhexgalka lagama maarmaanka ah, taas oo ah in ay ku jiraan qalabka, fikradayda shakhsi ahaaneed:
- Qalabka isdhexgalka: Jenkins, TeamCity iyo Gitlab CI.
- Deegaanka horumarinta: Intellij IDEA, Visual Studio. Way ku habboon tahay horumariye inuusan u socon interface aan la fahmi karin oo weli u baahan in la xasuusto, laakiin si uu u arko dhammaan isdhexgalka lagama maarmaanka ah iyo dayacanka uu ka helay goobta shaqada ee deegaankiisa horumarineed.
- Dib u eegis kood: SonarQube iyo dib u eegista gacanta
- Cilladaha raadraacayaasha: Jira iyo Bugzilla.
Sawirku wuxuu muujinayaa qaar ka mid ah wakiilada ugu fiican ee falanqaynta joogtada ah.
Ma aha qalabyada muhiimka ah, laakiin habka, sidaas darteed waxaa jira xalal furan oo furan oo sidoo kale ku fiican in la tijaabiyo habka.
Isha furan ee SAST ma heli doonto tiro aad u badan oo dayacan ama DataFlows adag, laakiin waa la isticmaali karaa waana in la isticmaalo marka la dhisayo habsocodka. Waxay caawiyaan in la fahmo sida habka loo dhisi doono, cidda ka jawaabi doonta cayayaanka, cidda soo sheegi doonta, iyo cidda soo sheegi doonta. Haddii aad rabto inaad sameyso marxaladda hore ee dhisida amniga code-kaaga, isticmaal xalalka Isha Furan.
Sidee tan loo midayn karaa haddii aad tahay bilowga safarkaaga oo aanad waxba haysan: ma jiro CI, ma jiro Jenkins, ma jiro TeamCity? Aynu ka fikirno la-qabsiga habka.
Isku dhafka heerka CVS
Haddii aad leedahay Bitbucket ama GitLab, waxaad isku dari kartaa heerka .
Dhacdo ahaan - codsi jiid, ballan. Waxaad sawirtaa koodka oo heerka dhismuhu wuxuu muujinayaa in hubinta ammaanku ay dhaaftay iyo in kale.
Warcelin. Dabcan, jawaab celin ayaa had iyo jeer loo baahan yahay. Haddii aad kaliya samaysay amniga dhinaca, ku rid sanduuqa oo aanad cidna u sheegin wax ku saabsan, ka dibna dhammaadka bisha waxaad tuurtay farabadan cayayaanka - tani sax maaha oo ma fiicna.
Isdhexgalka nidaamka dib u eegista code
Mar, waxaanu u dhaqannay sidii dib u eegistii hore ee isticmaale AppSec farsamo dhawr mashruuc oo muhiim ah. Iyada oo ku xidhan haddii khaladaadka lagu garto koodhka cusub ama aanay jirin khaladaad, dib-u-eeguhu wuxuu dejiyaa heerka codsiga jiidista si uu "aqbalo" ama "shaqo u baahan" - ama wax walba waa OK, ama isku xirka waxa saxda ah ee loo baahan yahay in la hagaajiyo u baahan in la hagaajiyo. La-qabsashada nooca soo baxaya, waxaanu awoodnay mamnuucid isku darka haddii aan la gudbin imtixaanka amniga macluumaadka. Tan waxaan ku darnay dib u eegista xeerka gacanta, iyo ka qaybgalayaasha kale ee hawsha waxay arkeen heerka amniga ee nidaamkan gaarka ah.
Is dhexgalka SonarQube
Qaar badan ayaa heysta xagga tayada koodka. Waa isku mid halkan - waxaad samayn kartaa albaab isku mid ah oo keliya qalabka SAST. Waxaa jiri doona interface isku mid ah, irid tayo la mid ah, kaliya ayaa loo yeeri doonaa albaabka ammaanka. Iyo sidoo kale, haddii aad leedahay nidaam isticmaalaya SonarQube, waxaad si fudud u dhexgalin kartaa wax kasta oo halkaas.
Is dhexgalka heerka CI
Wax kasta oo halkan sidoo kale waa wax fudud:
- Si la mid ah tijaabinta otomaatiga ah, imtixaanada unugga.
- Kala qaybinta heerarka horumarka: dev, imtixaan, prod. Xeerar kala duwan ama xaalado fashilaad oo kala duwan ayaa lagu dari karaa: Jooji shirka, ha joojin shirka.
- Daahfurka isku dhafan/isku-dhafka ah. Waxaan sugeynaa dhamaadka imtixaanada amniga iyo in kale. Yacni, innaga oo kaliya ayaanu furnay oo horay u sii wadnay, ka dibna waxaan helnaa in wax walba ay wanaagsan yihiin ama ay xun yihiin.
Dhammaan waxay ku sugan yihiin adduun casaan ah oo qumman. Ma jiro wax noocaas ah nolosha dhabta ah, laakiin waan ku dadaalnaa. Natiijooyinka hubinta amniga ee socda waa inay la mid noqdaan natiijooyinka imtixaannada cutubyada.
Tusaale ahaan, waxaan qaadnay mashruuc weyn oo waxaan go'aansanay inaan hadda ku sawirno SAST - OK. Waxaan ku riixnay mashruucan SAST, wuxuu na siiyay 20 dayacanka iyo go'aan adag oo aan go'aansanay in wax walba ay wanaagsan yihiin. 000 baylahdu waa deyn farsamo. Waxaan ku ridi doonaa deynta sanduuqa, waxaan si tartiib ah u nadiifin doonaa oo ku dari doonaa cayayaan si trackers cilladaysan. Aan shaqaaleysiinno shirkad, aan wax walba samayno, ama aan haysano Badbaadada Champions League-ga - oo deyn farsamo ayaa yaraan doonta.
Iyo dhammaan dayacanka cusub ee soo baxaya ee koodhka cusub waa in la tirtiraa si la mid ah sida khaladaadka cutubka ama tijaabinta otomaatiga ah. Marka la eego, goluhu wuu bilaabmay, waanu wadnay, laba imtixaan iyo laba imtixaan oo amniga ah ayaa fashilmay. OK - waanu tagnay, eegnay wixii dhacay, hal shay ayaa hagaajiyay, mid kalena waanu hagaajinay, markii xigtayna waanu orday - wax walba way fiicnaayeen, wax nuglaansho ah oo cusubi ma muuqan, imtixaanna ma dhicin. Haddii hawshani ay qoto dheer tahay oo aad u baahan tahay inaad si fiican u fahamto, ama hagaajinta nuglaanta waxay saamaysaa lakabyo waaweyn oo ka mid ah waxa ku jira daboolka hoostiisa: bug ayaa lagu daray raadiyaha cilladda, mudnaanta ayaa la siiyaa oo la saxaa. Nasiib darro, dunidu ma qummana oo imtixaannada mararka qaarkood way dhacaan.
Tusaalaha albaabka ammaanku waa analoogga iridda tayada leh, marka la eego joogitaanka iyo tirada nuglaanta ee koodhka.
Waxaan la midownaa SonarQube - plugin-ka ayaa lagu rakibay, wax walba waa mid aad u habboon oo qabow.
Is dhexgalka deegaanka horumarka
Ikhtiyaarada isdhexgalka:
- Ka samaynta iskaanka deegaanka horumarka ka hor inta aanad samayn.
- Daawo natiijooyinka
- Falanqaynta natiijooyinka.
- La shaqaynta serverka
Tani waa waxa ay u egtahay in laga helo natiijooyinka server-ka.
Deegaanka horumarkayaga shay dheeraad ah ayaa si fudud u soo baxaya kaas oo kuu sheegaya in dayacanka noocaas ah la ogaaday intii lagu jiray skaanka. Isla markiiba waad tafatiran kartaa koodka, fiiri talooyinka iyo . Dhammaan tani waxay ku taallaa goobta shaqada ee horumarinta, taas oo ah mid aad u habboon - looma baahna in la raaco xiriiriyeyaasha kale oo fiiri wax dheeraad ah.
Ilaha furan
Kani waa mowduuca aan jeclahay. Qof kastaa wuxuu isticmaalaa maktabadaha Isha Furan - maxaad u qoraysaa farabadan buskudyo iyo baaskiillo markaad qaadan karto maktabad diyaarsan oo wax walba laga hirgeliyay?
Dabcan, tani waa run, laakiin maktabadaha ayaa sidoo kale ay qoraan dadku, waxay sidoo kale ku jiraan khataro gaar ah iyo sidoo kale waxaa jira nuglaansho xilliyo ah, ama si joogto ah, loo soo sheego. Sidaa darteed, waxaa jira tallaabada xigta ee Amniga Codsiga - tani waa falanqaynta qaybaha Ilaha Furan.
Falanqaynta Isha Furan - OSA
Qalabku wuxuu ka kooban yahay saddex marxaladood oo waaweyn.
Raadinta nuglaanshaha maktabadaha. Tusaale ahaan, qalabku wuxuu ogyahay inaan isticmaaleyno maktabadaha qaar, iyo taas ama waxaa jira qaar u nuglaanshaha jira trackers bug kuwaas oo la xidhiidha nooca maktabadda. Markaad isku daydo inaad isticmaasho, qalabku wuxuu soo saari doonaa digniin ah in maktabaddu ay nugul tahay waxayna kugula talineysaa inaad isticmaasho nooc kale oo aan lahayn nuglaanta.
Falanqaynta nadiifinta shatiga. Tani maaha mid si gaar ah loo jecel yahay halkan, laakiin haddii aad dibadda ka shaqeyso, markaa waqti ka waqti waxaad ka heli kartaa halkaas canshuur isticmaalka qayb il furan oo aan la isticmaali karin ama la beddeli karin. Marka loo eego siyaasadda maktabadda shatiga leh, tan ma sameyn karno. Ama, haddii aan wax ka beddelno oo isticmaalno, waa inaan dhejinnaa koodkayaga. Dabcan, qofna ma rabo inuu daabaco code-ka alaabtooda, laakiin waxaad sidoo kale ka ilaalin kartaa naftaada.
Falanqaynta qaybaha loo isticmaalo jawi warshadeed. Aynu qiyaasno xaalad mala awaal ah oo aan ugu dambeyntii dhamaystirnay horumarka oo aan sii deynay sii deynta ugu dambeysay ee adeegyadeena yar yar. Wuxuu ku nool yahay halkaas si cajiib ah - toddobaad, bil, sannad. Ma ururinno, ma samayno hubinta badbaadada, wax walba waxay u muuqdaan inay fiican yihiin. Laakiin si lama filaan ah, laba toddobaad ka dib marka la sii daayo, baylahda muhiimka ah ayaa ka muuqata qaybta Isha Furan, taas oo aan u isticmaalno dhismahan gaarka ah, jawiga warshadaha. Haddii aynaan diiwaan gelin waxa iyo meesha aan isticmaalno, markaa si fudud ma arki doono nuglaanshahan. Qalabka qaar ayaa awood u leh inay la socdaan dayacanka maktabadaha hadda lagu isticmaalo warshadaha. Aad bay faa'iido u leedahay.
Noocyada:
- Siyaasadaha kala duwan ee heerarka kala duwan ee horumarka.
- Qaybaha la socodka deegaanka warshadaha.
- Xakamaynta maktabadaha ururka dhexdiisa.
- Taageerada nidaamyada iyo luqadaha kala duwan ee dhisidda.
- Falanqaynta sawirada Docker.
Tusaalayaal dhowr ah oo ka mid ah hoggaamiyeyaasha warshadaha ee ku hawlan falanqaynta Isha Furan.
Midka kaliya ee xorta ah waa kan ka OWASP. Waxaad shidi kartaa marxaladaha ugu horreeya, arag sida ay u shaqeyso iyo waxa ay taageerto. Asal ahaan, kuwani waa dhammaan alaabooyinka daruuriga ah, ama goobta, laakiin gadaashooda saldhiggooda ayaa wali loo diraa internetka. Uma soo diraan maktabadahaaga, laakiin hashes ama qiyamkooda, kuwaas oo ay xisaabiyaan, iyo faraha serverkooda si ay u helaan macluumaadka ku saabsan joogitaanka dayacanka.
Habka isdhexgalka
Xakamaynta wareega ee maktabadaha, kuwaas oo laga soo dejiyo ilo dibadda ah. Waxaan leenahay kayd dibadda iyo gudaha ah. Tusaale ahaan, Event Central waxa ay waddaa Nexus, waxaanan rabnaa in aan hubinno in aysan jirin wax dayacan ah oo ku dhex jira kaydkayaga oo leh xaalad "muhiim ah" ama "sare". Waxaad ku habayn kartaa wakiilnimada adoo isticmaalaya Nexus Firewall Lifecycle Tool si baylahda noocaas ah loo gooyo oo ayan ugu dambayn kaydka gudaha.
Is dhexgalka CI. Isla heerkaas oo leh autotests, imtixaanada cutubyada iyo u qaybinta heerarka horumarka: dev, test, prod. Marxalad kasta, waxaad soo dejisan kartaa maktabad kasta, isticmaal wax kasta, laakiin haddii ay jiraan wax adag oo leh xaaladda "muhiimka ah", waxaa laga yaabaa inay mudan tahay in la soo jeediyo dareenka horumariyayaashu tan marxaladda sii deynta wax soo saarka.
Is dhexgalka la farshaxan: Nexus iyo JFrog.
Is dhexgalka deegaanka horumarka. Aaladaha aad doorato waa inay lahaadaan is dhexgalka deegaanka horumarka. Horumariyuhu waa inuu marin u helo natiijada iskaanka ee goobta shaqada, ama awood u leh inuu iska baadho oo ka hubiyo koodka laftiisa nuglaanta ka hor inta aanu samayn CVS.
CD dhexgalka. Tani waa muuqaal wanaagsan oo aan runtii jeclahay oo aan horay uga hadlay - la socoshada soo ifbaxa dayacanka cusub ee jawiga warshadaha. Waxay u shaqeysaa wax sidan oo kale ah.
Waxaan leenahay Kaydka Qaybaha Dadweynaha - qalabka qaar ka baxsan, iyo kaydka gudaha our. Waxaan rabnaa inay ka kooban tahay kaliya qaybo la aamini karo. Markaan wakiil ka codsaneyno, waxaan hubinaa in maktabadda la soo dejiyay aysan lahayn wax dayacan. Haddii ay ku dhacdo siyaasado gaar ah oo aan dejineyno oo ay daruuri tahay iskudubarid horumarinta, markaa ma soo galino waxaana lagu dhiirigeliyaa inaan isticmaalno nooc kale. Sidaa darteed, haddii ay jiraan wax dhab ah oo muhiim ah oo xun maktabadda, ka dibna horumariyuhu ma heli doono maktabadda marxaladda rakibidda - ha isticmaalo nooc ka sarreeya ama ka hooseeya.
- Marka la dhisayo, waxaan hubineynaa in qofna uusan simbiriirixeynin wax xun, in dhammaan qaybaha ay ammaan yihiin oo qofna uusan wax khatar ah u keenin flash drive.
- Waxa aanu kaydka ku haysanay qaybo la aamini karo.
- Marka la dirayo, waxaan mar kale hubinnaa xirmada lafteeda: dagaal, dhalo, DL ama sawirka Docker si loo hubiyo inay u hoggaansanto siyaasadda.
- Marka la soo galo warshadaha, waxaan la soconnaa waxa ka dhacaya jawiga warshadaha: dayacanka muhiimka ah ayaa muuqda ama ma muuqdaan.
Falanqaynta firfircoon - DAST
Qalabka falanqaynta firfircoon ayaa asal ahaan ka duwan wax kasta oo hore loo sheegay. Tani waa nooc ka mid ah ku dayashada shaqada isticmaalaha ee codsiga. Haddii kani yahay arji shabakad, waxaanu dirnaa codsiyo, anagoo u ekaysiinaya shaqada macmiilka, guji badhamada xagga hore, ka soo dir xogta macmalka ah ee foomka: xigashooyin, brackets, characters in codes kala duwan, si aad u aragto sida codsigu u shaqeeyo iyo habka. xogta dibadda.
Isla nidaamku wuxuu kuu ogolaanayaa inaad hubiso dayacanka template ee Isha Furan. Maadaama DAST aysan garanayn isha Furan ee aan isticmaaleyno, waxay si fudud u tuurtaa qaababka "xaasidnimada ah" oo ay falanqeyso jawaabaha serverka:
- Haa, halkan dhibaato ayaa ka jirta, laakiin halkan maaha.
Waxaa jira khataro waaweyn tan, sababtoo ah haddii aad ku sameyso tijaabadan amniga isla kursiga keydka ee tijaabiyeyaashu la shaqeeyaan, waxyaabo aan fiicneyn ayaa dhici kara.
- Culeyska sare ee shabakada adeegaha codsiga.
- Ma jiro is dhexgal
- Awoodda lagu beddelo goobaha arjiga la falanqeeyay.
- Ma jirto wax taageero ah oo loogu talagalay tignoolajiyada lagama maarmaanka ah.
- Dejinta adag.
Waxaan helnay xaalad markii aan ugu dambeyntii bilownay AppScan: waqti dheer ayaan isku daynay inaan galno codsiga, waxaan helnay 3 akoon waana ku faraxsanahay - ugu dambeyntii waxaan hubin doonaa wax walba! Waxaan bilownay iskaanka, wixii ugu horeeyay ee AppScan uu sameeyay wuxuu ahaa inuu galo maamulka maamulka, dalooliyo dhammaan badhamada, beddelo kala bar xogta, ka dibna gabi ahaanba ku disho server-ka -codsiyada. Kobcinta imtixaanku wuxuu yidhi:
- Nimanyahow, miyaad igu kaftamaysaa?! Waxaan idin siinnay xisaabaad, waxaadna taagteen fadhi.
Tixgeli khataraha suurtagalka ah. Sida habboon, u diyaari mawqif gaar ah oo lagu baadho amniga macluumaadka, kaas oo ka go'doonsan deegaanka intiisa kale ugu yaraan si uun, oo shuruud ahaan u hubi guddiga maamulka, gaar ahaan qaabka gacanta. Tani waa faa'iido - boqolleyda dadaalka hadhay ee aynaan hadda ka fiirsan.
Waxaa habboon in la tixgeliyo inaad tan u isticmaali karto sidii analooga tijaabada culeyska. Marxaladda koowaad, waxaad shidi kartaa iskaanka firfircoon ee leh 10-15 dun oo arag waxa dhacaya, laakiin sida caadiga ah, sida ficilku muujinayo, wax wanaagsan ma jiraan.
Waxoogaa kheyraad ah oo aan inta badan isticmaalno.
Mudan in la muujiyo waa "Midi Swiss" oo loogu talagalay xirfadleyaasha amniga. Qof kastaa wuu isticmaalaa waana mid aad u habboon. Nooc cusub oo demo ah oo daabacaadda ganacsiga ayaa hadda la siidaayay. Haddii markii hore ay ahayd kaliya utility kaligiis leh plugins, hadda horumariyayaashu waxay ugu dambeyntii sameynayaan server weyn kaas oo ay suurtagal noqon doonto in lagu maareeyo wakiillo dhowr ah. Tani waa qabow, waxaan kugula talinayaa inaad tijaabiso.
Habka isdhexgalka
Is-dhexgalka ayaa si fiican oo fudud u dhaca: Bilow iskaanka ka dib rakibidda guul leh codsiyada miiska iyo iskaanka ka dib markii lagu guuleystey tijaabada isdhexgalka.
Haddii is-dhexgalyadu aysan shaqeynin ama ay jiraan jeexjeexyo iyo hawlo jeesjees ah, waa wax aan micno lahayn oo aan faa'iido lahayn - iyada oo aan loo eegin qaabka aan u dirno, server-ku weli wuu ka jawaabi doonaa si la mid ah.
- Fikrad ahaan, istaag tijaabo gooni ah.
- Imtixaanka ka hor, qor isku xigxiga soo gelida.
- Tijaabada nidaamka maamulka waa gacanta oo kaliya.
habka
In yar oo guud oo ku saabsan habka guud ahaan iyo shaqada qalab kasta gaar ahaan. Codsiyada oo dhami way kala duwan yihiin - mid wuxuu si fiican ugu shaqeeyaa falanqayn firfircoon, mid kalena falanqaynta taagan, saddexaadna falanqaynta OpenSource, pentests, ama shay kale oo dhan, tusaale ahaan, dhacdooyin leh .
Nidaam kastaa wuxuu u baahan yahay xakameyn.
Si aad u fahamto sida hawshu u shaqeyso iyo halka lagu hagaajin karo, waxaad u baahan tahay inaad ka soo ururiso cabbiraadaha wax kasta oo aad gacmahaaga ku heli karto, oo ay ku jiraan cabbirrada wax soo saarka, cabbirrada qalabka, iyo raad-raacayaasha cilladaysan.
Macluumaad kastaa waa waxtar. Waa lagama maarmaan in laga eego dhinacyo kala duwan oo ku saabsan meesha tan ama qalabkaas si fiican loo isticmaalo, halkaas oo geeddi-socodku si gaar ah u hooseeyo. Waxa laga yaabaa inay mudan tahay in la eego wakhtiyada jawaabta horumarka si loo arko halka lagu hagaajinayo habka wakhtiga ku salaysan. Xogta badan, qaybo badan ayaa laga dhisi karaa heerka sare ilaa faahfaahinta habsocod kasta.
Maaddaama dhammaan falanqeeyayaasha firfircoon iyo kuwa firfircoon ay leeyihiin API-yo u gaar ah, hababkooda furitaanka, mabaadi'da, qaar ayaa leh jadwal-jadwal, kuwa kalena ma sameeyaan - waxaan qoraynaa qalab. AppSec Orchestrator, kaas oo kuu ogolaanaya inaad abuurto hal meel oo laga soo galo geeddi-socodka oo dhan ka soo alaabta oo aad ka maamusho hal dhibic.
Maareeyayaasha, horumarinta iyo injineerada amniga waxay leeyihiin hal dhibic oo laga soo galo taas oo ay ka arki karaan waxa socda, habayn karaan oo maamuli karaan iskaanka, helaan natiijooyinka iskaanka, oo soo gudbiyaan shuruudaha. Waxaan isku dayeynaa inaan ka guurno waraaqaha, si aan wax walba ugu turjuno mid bini'aadan ah, kaas oo loo isticmaalo horumarinta - boggaga Isku-dhafka leh heerka iyo mitirka, cilladaha Jira ama raadiyeyaasha cilladaha kala duwan, ama isdhexgalka habka isku-dhafka / isku-dhafka ah ee CI /CD.
Qodobada Muhiimka ah
Qalabku maaha waxa ugu muhiimsan. Marka hore ka feker habka - ka dibna hirgeli qalabka. Qalabku waa wanaagsan yahay laakiin waa qaali, markaa waxaad ku bilaabi kartaa habka oo aad dhisto xiriirka iyo isfahamka u dhexeeya horumarka iyo amniga. Marka laga eego dhinaca nabdoonaanta, looma baahna in wax walba la "joojiyo" marka laga eego dhinaca horumarka, haddii ay jiraan wax sare oo muhiim ah, markaa waxay u baahan tahay in la tirtiro, oo aan indhaha laga daboolin dhibaatada.
Tayada alaabta - yoolka guud amniga iyo horumarka labadaba. Waxaan sameynaa hal shay, waxaan isku dayeynaa inaan hubinno in wax walba ay si sax ah u shaqeeyaan oo aysan jirin khataro sumcad ama khasaare maaliyadeed. Tani waa sababta aan u horumarinayno DevSecOps, habka SecDevOps si aan u wanaajino isgaarsiinta iyo horumarinta tayada alaabta.
Ka bilow waxaad hore u haysatidShuruudaha, qaab-dhismeedka, hubinta qayb ahaan, tababarrada, tilmaamaha. Looma baahna in isla markiiba lagu dabaqo dhammaan dhaqamada dhammaan mashaariicda - si isdaba joog ah u dhaqaaq. Hal halbeeg ma jiro - tijaabo iskuna day habab iyo xalal kala duwan.
Waxaa jira calaamad siman oo u dhaxaysa cilladaha amniga macluumaadka iyo cilladaha shaqada.
Si otomaatig ah wax walba u sameedhaqaaqa. Wax kasta oo aan dhaqaaqin, dhaqaaq oo otomaatig u samee. Haddii wax lagu sameeyo gacanta, ma aha qayb wanaagsan oo ka mid ah habka. Waxaa laga yaabaa inay mudan tahay in dib loo eego oo si otomaatig ah loo sameeyo.
Haddii xajmiga kooxda IS yar yahay - isticmaal Champions League.
Waxaa laga yaabaa in waxa aan ka hadlay aysan ku habboonayn oo aad la iman doonto wax adiga kuu gaar ah - taasina way wanaagsan tahay. Laakin dooro qalab ku salaysan shuruudaha nidaamkaaga. Ha eegin waxa ay bulshadu leedahay ee ah in qalabkani xun yahay kanuna wanaagsan yahay. Waxaa laga yaabaa in caksigeeda ay run u noqoto badeecadaada.
Shuruudaha qalabka.
- Heer hoose Been Togan.
- Waqti ku filan falanqaynta.
- Ku habboonaanta isticmaalka.
- Helitaanka isdhexgalka.
- Fahamka khariidadda horumarinta alaabta.
- Suurtagalnimada qalabaynta.
Warbixinta Yuri waxaa loo doortay mid ka mid ah kuwa ugu wanaagsan DevOpsConf 2018. Si aad u barato fikrado aad u xiiso badan iyo kiisaska la taaban karo, u kaalay Skolkovo May 27 iyo 28 gudaha . Si ka sii wanaagsan, haddii aad diyaar u tahay inaad la wadaagto khibradaada, markaa Warbixinta ilaa 21-ka Abriil.
Source: www.habr.com