Ба ман бештар маъқул аст BSIMM - Сохтмони амнияти модели камолот. Асоси методология тақсимоти раванди Амнияти Барномаҳо ба 4 домен аст: Идоракунӣ, Intelligence, SSDL Touchpoints ва Deployment. Ҳар як домен 12 амалия дорад, ки ҳамчун 112 фаъолият муаррифӣ мешаванд.
Ҳар яке аз 112 фаъолият дорад 3 дараҷаи камолот: ибтидоӣ, миёна ва пешрафта. Шумо метавонед ҳамаи 12 амалияро қисм ба бахш омӯзед, чизҳои барои шумо муҳимро интихоб кунед, фаҳмед, ки чӣ тавр татбиқ кардани онҳо ва тадриҷан элементҳоро илова кунед, масалан, таҳлили коди статикӣ ва динамикӣ ё баррасии код. Шумо дар доираи амалисозии чорабиниҳои интихобшуда нақша менависед ва аз рӯи он оромона кор мекунед.
Чаро DevSecOps
DevOps як раванди умумӣ ва бузургест, ки дар он амният бояд ба назар гирифта шавад.
Сароғоз DevOps тафтиши бехатариро дарбар мегирифт. Дар амал шумораи дастадои мудофизатй назар ба дозира хеле кам буд ва ондо на дамчун иштирокчии процесс, балки дамчун органи назорату назорате баромад мекарданд, ки ба ондо талабот мегузоранд ва сифати мадсулотро дар охири баровардан месанчанд. Ин як равиши классикист, ки дар он дастаҳои амниятӣ дар паси девор аз рушд буданд ва дар ин раванд иштирок намекарданд.
Мушкилоти асосӣ ин аст, ки амнияти иттилоотӣ аз рушд ҷудо аст. Одатан ин як навъ схемаи амнияти иттилоотист ва он дорои 2-3 асбоби калон ва гаронбаҳо мебошад. Як маротиба дар шаш моҳ, рамзи сарчашма ё барномае, ки бояд тафтиш карда шавад, меояд ва дар як сол як маротиба истеҳсол карда мешавад пентестхо. Ҳамаи ин ба он оварда мерасонад, ки санаи барориши ин соҳа ба таъхир меафтад ва таҳиякунанда ба шумораи зиёди осебпазирии воситаҳои автоматӣ дучор мешавад. Хамаи инро ба кисмхо чудо кардану таъмир кардан мум-кин нест, зеро натичахои шашмохаи пештара ба тартиб андохта нашудаанд, вале дар ин чо партияи нав.
Дар ҷараёни кори ширкати мо, мо мебинем, ки амният дар ҳама соҳаҳо ва соҳаҳо дарк мекунад, ки вақти он расидааст, ки бо рушд дар як чарх - дар Ҷасади. Парадигмаи DevSecOps бо методологияи таҳияи agile, татбиқ, дастгирӣ ва иштирок дар ҳар як нашр ва итератсия комилан мувофиқ аст.
Гузариш ба DevSecOps
Калимаи муҳимтарин дар давраи рушди амният ин аст "раванд". Пеш аз он ки дар бораи харидани асбобҳо фикр кунед, шумо бояд инро фаҳмед.
Танҳо ворид кардани абзорҳо ба раванди DevOps кофӣ нест - муошират ва фаҳмиши байни иштирокчиёни раванд муҳим аст.
Одамон муҳимтаранд, на асбобҳо.
Аксар вақт, банақшагирии раванди таҳияи бехатар аз интихоб ва харидани асбоб оғоз мешавад ва бо кӯшиши ҳамгироӣ кардани асбоб ба раванди ҷорӣ, ки кӯшишҳо боқӣ мемонанд, анҷом меёбад. Ин ба оқибатҳои ногувор оварда мерасонад, зеро ҳама воситаҳо хусусиятҳо ва маҳдудиятҳои худро доранд.
Ҳолати маъмулӣ он аст, ки шӯъбаи амният асбоби хуб ва гаронбаҳои дорои қобилиятҳои васеъро интихоб кард ва ба таҳиягарон барои ворид кардани он ба раванд омад. Аммо ин кор намекунад - раванд тавре сохта шудааст, ки маҳдудиятҳои асбоби аллакай харидашуда ба парадигмаи ҷорӣ мувофиқат накунанд.
Ман проблемаҳоеро, ки барои ҳама асбобҳо мувофиқанд ва таваҷҷӯҳро талаб мекунанд, таъкид мекунам. Ман онҳоро муфассалтар таҳлил мекунам, то минбаъд такрор нашаванд.
Муҳлати таҳлили дароз. Агар барои ҳама санҷишҳо ва ҷамъбаст 30 дақиқа вақт ҷудо карда шавад, пас санҷиши амнияти иттилоотӣ як рӯзро мегирад. Бинобар ин, ҳеҷ кас ин равандро суст намекунад. Ин хусусиятро ба назар гирифта, хулоса бароред.
Сатҳи баланди манфии бардурӯғ ё мусбати бардурӯғ. Ҳама маҳсулот гуногунанд, ҳама чаҳорчӯбаҳои гуногун ва услуби рамзгузории худро истифода мебаранд. Дар асоси кодҳо ва технологияҳои гуногун, асбобҳо метавонанд сатҳҳои гуногуни манфии бардурӯғ ва мусбати бардурӯғро нишон диҳанд. Пас, бубинед, ки маҳз дар чист аз шумо ширкатҳо ва барои шумо барномаҳо натиҷаҳои хуб ва боэътимод нишон медиҳанд.
Интегратсия бо асбобҳои мавҷуда вуҷуд надорад. Ба асбобҳо аз нуқтаи назари ҳамгироӣ бо он чизе, ки шумо аллакай истифода мекунед, нигаред. Масалан, агар шумо Jenkins ё TeamCity дошта бошед, ҳамгироии асбобҳоро бо ин нармафзор санҷед, на бо GitLab CI, ки шумо истифода намебаред.
Набудани ё мураккабии аз ҳад зиёди мутобиқсозӣ. Агар асбоб API надошта бошад, пас чаро он лозим аст? Ҳама чизе, ки дар интерфейс анҷом дода мешавад, бояд тавассути API дастрас бошад. Идеалӣ, асбоб бояд қобилияти танзими чекҳоро дошта бошад.
Харитаи роҳи рушди маҳсулот вуҷуд надорад. Рушд дар як ҷо намеистад, мо ҳамеша чаҳорчӯба ва функсияҳои навро истифода мебарем, рамзи кӯҳнаро ба забонҳои нав аз нав менависем. Мо мехоҳем итминон дошта бошем, ки асбобе, ки мо мехарем, чаҳорчӯба ва технологияҳои навро дастгирӣ мекунад. Аз ин рӯ, муҳим аст, ки бидонед, ки маҳсулот воқеӣ ва дуруст аст харитаи инкишоф.
Хусусиятҳои раванди
Илова ба хусусиятҳои асбобҳо, хусусиятҳои раванди рушдро ба назар гиред. Масалан, монеъ шудан ба рушд хатои маъмулист. Биёед бубинем, ки кадом хусусиятҳои дигар бояд ба назар гирифта шаванд ва гурӯҳи амниятӣ бояд ба он диққат диҳанд.
Чӣ бояд кард? Мо танҳо камбудиҳои тасдиқшударо, ки мо пайдо кардем, ба шакли барои рушд мувофиқ табдил медиҳем, масалан, мо онҳоро дар Ҷира дар ақибмонда қарор медиҳем. Мо камбудиҳоро дар ҷои аввал мегузорем ва онҳоро дар баробари нуқсонҳои функсионалӣ ва нуқсонҳои санҷишӣ бо тартиби афзалиятнок бартараф мекунем.
Таҳлили статикӣ - SAST
Ин як таҳлили код барои осебпазирӣ аст., аммо он яксон бо SonarQube нест. Мо на танҳо намуна ё услубро тафтиш мекунем. Дар таҳлил як қатор равишҳо истифода мешаванд: аз рӯи дарахти осебпазирӣ, мувофиқи DataFlow, тавассути таҳлили файлҳои конфигуратсия. Ин ҳама чизест, ки ба худи код дахл дорад.
Қобили таъкид Suite Burp як "корди швейтсарӣ" барои ҳар як мутахассиси амният аст. Ҳама аз он истифода мебаранд ва ин хеле қулай аст. Ҳоло версияи нави намоишии нашри корхона бароварда шудааст. Агар пештар он танҳо як утилитаи мустақил бо плагинҳо бошад, ҳоло таҳиягарон ниҳоят сервери калонеро месозанд, ки аз он метавон якчанд агентҳоро идора кард. Ин аҷиб аст, ман тавсия медиҳам, ки онро санҷед.
Интегратсияи равандҳо
Интегратсия хеле хуб ва оддӣ сурат мегирад: пас аз насби бомуваффақият сканро оғоз кунед аризахо барои стенд ва сканкунӣ пас аз санҷиши бомуваффақияти ҳамгироӣ.
Агар интегратсияҳо кор накунанд ё нотаҳо ва функсияҳои масхара вуҷуд дошта бошанд, ин бемаънӣ ва бефоида аст - новобаста аз он ки мо кадом намунаро мефиристем, сервер ҳамон тавр ҷавоб медиҳад.
Идеалӣ, стенди озмоишии алоҳида.
Пеш аз санҷиш, пайдарпаии воридшавиро нависед.
Санҷиши системаи маъмурӣ танҳо дастӣ аст.
раванди
Дар бораи раванд дар маҷмӯъ ва дар бораи кори ҳар як асбоб каме умумӣ. Ҳама барномаҳо гуногунанд - яке бо таҳлили динамикӣ беҳтар кор мекунад, дигаре бо таҳлили статикӣ, сеюмӣ бо таҳлили OpenSource, пентестҳо ё чизи дигар, масалан, воқеаҳо бо Ваф.
Ҳар як раванд ба назорат ниёз дорад.
Барои фаҳмидани он ки раванд чӣ гуна кор мекунад ва дар куҷо онро беҳтар кардан мумкин аст, ба шумо лозим аст, ки аз ҳама чизҳое, ки ба даст оварда метавонед, ченакҳоро ҷамъ кунед, аз ҷумла ченакҳои истеҳсолӣ, ченакҳо аз асбобҳо ва пайгирии камбудиҳо.
Ҳар гуна маълумот муфид аст. Ба он чое, ки ин ва ё он асбоб нагзтар истифода мешавад, дар он чое, ки процесс махсусан суст мешавад, аз чихати гуногун назар кардан лозим аст. Шояд ба вақтҳои вокуниши рушд назар андозед, то бубинед, ки дар куҷо равандро дар асоси вақт беҳтар кардан лозим аст. Чӣ қадаре ки маълумот бештар бошад, бахшҳои бештарро аз сатҳи боло то тафсилоти ҳар як раванд сохтан мумкин аст.
Азбаски ҳама анализаторҳои статикӣ ва динамикӣ API-ҳои худро доранд, усулҳои оғозёбӣ, принсипҳои худро доранд, баъзеҳо нақшакаш доранд, дигарон не - мо асбоб менависем. Оркестри AppSec, ки ба шумо имкон медиҳад, ки як нуқтаи вуруд ба тамоми раванд аз маҳсулот эҷод кунед ва онро аз як нуқта идора кунед.
Менеҷерҳо, таҳиягарон ва муҳандисони амният як нуқтаи вуруд доранд, ки аз он онҳо метавонанд дидани он чизеро, ки иҷро шуда истодааст, танзим ва иҷро кунанд, натиҷаҳои сканро қабул кунанд ва талаботро пешниҳод кунанд. Мо кӯшиш мекунем, ки аз коғазбозӣ дур шавем, ҳама чизро ба одам табдил диҳем, ки онро рушд истифода мебарад - саҳифаҳо дар Конфронс бо вазъ ва ченакҳо, нуқсонҳо дар Jira ё дар пайгирии камбудиҳои гуногун ё ҳамгироӣ ба раванди синхронӣ/асинхронӣ дар CI /CD.
Таҷҳизоти асосӣ
Асбобҳо чизи асосӣ нестанд. Аввал ба воситаи раванд фикр кунед - пас воситаҳоро татбиқ кунед. Воситаҳо хубанд, вале гарон ҳастанд, аз ин рӯ шумо метавонед бо раванд оғоз кунед ва иртибот ва фаҳмиши байни рушд ва амниятро эҷод кунед. Аз нуқтаи назари бехатарӣ, ҳама чизро "қатъ кардан" лозим нест.Аз нуқтаи назари рушд, агар ягон чизи баланди мега суперкритикӣ вуҷуд дошта бошад, пас онро бартараф кардан лозим аст ва аз мушкилот чашм намепӯшед.
Сифати махсулот- ҳадафи умумӣ хам амният ва хам тараккиёт. Мо як чизро мекунем, мо кӯшиш мекунем, ки ҳама чиз дуруст кор кунад ва ҳеҷ гуна хатари обрӯ ё талафоти молиявӣ вуҷуд надошта бошад. Аз ин рӯ, мо равиши DevSecOps, SecDevOps-ро барои беҳтар кардани муошират ва беҳтар кардани сифати маҳсулот таблиғ мекунем.
Аз он чизе, ки шумо аллакай доред, оғоз кунед: талабот, меъморӣ, санҷишҳои қисман, тренингҳо, роҳнамо. Ба ҳама лоиҳаҳо фавран татбиқ кардани ҳама амалияҳо лозим нест - ба таври такрорӣ ҳаракат кунед. Стандарти ягона вуҷуд надорад - озмоиш ва роҳҳои ҳалли гуногунро санҷед.
Ҳама чизро автоматӣ кунедки харакат мекунад. Ҳар он чизе ки ҳаракат намекунад, онро интиқол диҳед ва автоматӣ кунед. Агар коре дастй ичро карда шавад, ин як кисми хуби процесс нест. Шояд онро баррасӣ кардан ва автоматикунонии он низ меарзад.
Агар шумораи дастаи IS хурд бошад - Чемпионҳои Амниятро истифода баред.
Шояд он чизе, ки ман дар бораи он гуфтам, ба шумо мувофиқат накунад ва шумо чизе аз худатон пайдо мекунед - ва ин хуб аст. Аммо асбобҳоро дар асоси талабот барои раванди худ интихоб кунед. Набинед, ки ҷомеа чӣ мегӯяд, ки ин асбоб бад асту инаш хуб. Шояд баръакс барои маҳсулоти шумо дуруст бошад.
Талабот ба асбобҳо.
Сатҳи пасти мусбати бардурӯғ.
Вақти мувофиқи таҳлил.
Истифодаи осон.
Мавҷудияти ҳамгироӣ.
Фаҳмидани харитаи роҳи рушди маҳсулот.
Имконияти танзими асбобҳо.
Гузориши Юрий яке аз беҳтаринҳо дар DevOpsConf 2018 интихоб шуд. Барои шиносоӣ бо ғояҳои ҷолибтар ва ҳолатҳои амалӣ рӯзҳои 27 ва 28 май ба Сколково биёед. DevOpsConf дар дохили фестивали RIT++. Беҳтараш, агар шумо омода бошед, ки таҷрибаи худро мубодила кунед, пас муроҷиат кунед барои хисобот то 21 апрель.