A ni awọn atunnkanka koodu 2, awọn irinṣẹ idanwo agbara 4, awọn iṣẹ ọnà tiwa ati awọn iwe afọwọkọ 250. Kii ṣe pe gbogbo eyi ni a nilo ninu ilana lọwọlọwọ, ṣugbọn ni kete ti o ba bẹrẹ imuse DevSecOps, o ni lati lọ si opin.
. Awọn olupilẹṣẹ ohun kikọ: Justin Roiland ati Dan Harmon.
Kini SecDevOps? Kini nipa DevSecOps? Kini iyato? Aabo ohun elo - kini o jẹ nipa? Kilode ti ọna aṣa ko ṣiṣẹ mọ? O mọ idahun si gbogbo awọn ibeere wọnyi Yuri Shabalin ati bẹbẹ lọ Swordfish Aabo. Yuri yoo dahun ohun gbogbo ni awọn alaye ati ṣe itupalẹ awọn iṣoro ti iyipada lati awoṣe Aabo Ohun elo kilasika si ilana DevSecOps: bii o ṣe le ṣe deede isọpọ ti ilana idagbasoke aabo sinu ilana DevOps ati pe ko fọ ohunkohun, bii o ṣe le lọ nipasẹ awọn ipele akọkọ. ti idanwo aabo, awọn irinṣẹ wo ni a le lo, ati kini wọn yatọ ati bii o ṣe le tunto wọn ni deede lati yago fun awọn ọfin.
Nipa agbọrọsọ: Yuri Shabalin - Oloye Aabo ayaworan ninu awọn ile- Swordfish Aabo. Lodidi fun imuse ti SSDL, fun iṣọpọ gbogbogbo ti awọn irinṣẹ itupalẹ ohun elo sinu idagbasoke iṣọkan ati ilolupo idanwo. Awọn ọdun 7 ti iriri ni aabo alaye. Ṣiṣẹ ni Alfa-Bank, Sberbank ati Awọn Imọ-ẹrọ Rere, eyiti o dagbasoke sọfitiwia ati pese awọn iṣẹ. Agbọrọsọ ni awọn apejọ agbaye ZerONights, PHDays, RISSPA, OWASP.
Aabo ohun elo: kini o jẹ nipa?
Ohun elo Aabo - Eyi ni apakan aabo ti o jẹ iduro fun aabo ohun elo. Eyi ko kan awọn amayederun tabi aabo nẹtiwọọki, ṣugbọn dipo ohun ti a kọ ati kini awọn olupilẹṣẹ ṣiṣẹ lori - iwọnyi ni awọn ailagbara ati awọn ailagbara ti ohun elo funrararẹ.
Itọsọna - Igbesi aye idagbasoke aabo - ni idagbasoke nipasẹ Microsoft. Aworan naa fihan awoṣe SDLC canonical, iṣẹ akọkọ ti eyiti o jẹ ikopa ti aabo ni gbogbo ipele ti idagbasoke, lati awọn ibeere lati tu silẹ ati iṣelọpọ. Microsoft ṣe akiyesi pe awọn idun pupọ wa ninu ile-iṣẹ naa, diẹ sii ninu wọn ati pe ohun kan ni lati ṣe nipa rẹ, ati pe wọn dabaa ọna yii, eyiti o ti di alamọdaju.
Aabo Ohun elo ati SSDL ko ṣe ifọkansi lati ṣawari awọn ailagbara, bi a ti gbagbọ nigbagbogbo, ṣugbọn ni idilọwọ iṣẹlẹ wọn. Ni akoko pupọ, ọna itọka ti Microsoft ti ni ilọsiwaju, ni idagbasoke, ati ṣafihan sinu jinle, iwẹ alaye diẹ sii.
SDLC canonical jẹ alaye gaan ni ọpọlọpọ awọn ilana - OpenSAMM, BSIMM, OWASP. Awọn ilana ti o yatọ, ṣugbọn ni apapọ ni iru.
Aabo Ile Ni Awoṣe Ogbo
Mo fẹran rẹ julọ BSIMM - . Ipilẹ ti ilana naa ni pipin ti ilana Aabo Ohun elo sinu awọn agbegbe 4: Ijọba, Imọye, SSDL Touchpoints ati Imuṣiṣẹ. Agbegbe kọọkan ni awọn iṣe 12, eyiti o jẹ aṣoju bi awọn iṣẹ 112.
Kọọkan ninu awọn 112 akitiyan ni o ni Awọn ipele 3 ti idagbasoke: alakobere, agbedemeji ati ki o to ti ni ilọsiwaju. O le ṣe iwadi gbogbo apakan awọn iṣe 12 nipasẹ apakan, yan awọn nkan ti o ṣe pataki si ọ, ro ero bi o ṣe le ṣe imuse wọn ki o ṣafikun awọn eroja ni diėdiė, fun apẹẹrẹ, aimi ati itupalẹ koodu agbara tabi atunyẹwo koodu. O kọ eto kan silẹ ki o ṣiṣẹ ni ifọkanbalẹ ni ibamu si rẹ gẹgẹbi apakan ti imuse ti awọn iṣẹ ṣiṣe ti o yan.
Kí nìdí DevSecOps
DevOps jẹ gbogboogbo, ilana nla ninu eyiti aabo gbọdọ ṣe akiyesi.
Ni akọkọ lowo aabo sọwedowo. Ni iṣe, nọmba awọn ẹgbẹ aabo kere pupọ ju bayi lọ, ati pe wọn ko ṣe bi awọn olukopa ninu ilana naa, ṣugbọn bi iṣakoso ati iṣakoso iṣakoso ti o fa awọn ibeere lori rẹ ati ṣayẹwo didara ọja ni opin itusilẹ naa. Eyi jẹ ọna Ayebaye ninu eyiti awọn ẹgbẹ aabo wa lẹhin odi lati idagbasoke ati pe ko kopa ninu ilana naa.
Iṣoro akọkọ ni pe aabo alaye yatọ si idagbasoke. Nigbagbogbo eyi jẹ diẹ ninu iru iyika aabo alaye ati pe o ni awọn irinṣẹ nla 2-3 ati gbowolori. Lẹẹkan ni gbogbo oṣu mẹfa, koodu orisun tabi ohun elo ti o nilo lati ṣayẹwo de, ati lẹẹkan ni ọdun kan wọn ṣe agbejade . Gbogbo eyi yori si otitọ pe ọjọ itusilẹ fun ile-iṣẹ naa ni idaduro, ati pe olupilẹṣẹ ti farahan si nọmba nla ti awọn ailagbara lati awọn irinṣẹ adaṣe. Ko ṣee ṣe lati ṣajọpọ ati tunṣe gbogbo eyi, nitori awọn abajade fun oṣu mẹfa ti tẹlẹ ko ṣe lẹsẹsẹ, ṣugbọn eyi ni ipele tuntun kan.
Ninu ilana ti iṣẹ ile-iṣẹ wa, a rii pe aabo ni gbogbo awọn agbegbe ati awọn ile-iṣẹ loye pe o to akoko lati mu ati yiyi pẹlu idagbasoke lori kẹkẹ kanna - ni . Ilana DevSecOps ni ibamu ni pipe pẹlu ilana idagbasoke agile, imuse, atilẹyin ati ikopa ninu gbogbo itusilẹ ati aṣetunṣe.
Iyipada si DevSecOps
Ọrọ pataki julọ ni Igbesi aye Idagbasoke Aabo jẹ "ilana". O gbọdọ ni oye eyi ṣaaju ki o to ronu nipa rira awọn irinṣẹ.
Nikan iṣakojọpọ awọn irinṣẹ sinu ilana DevOps ko to-ibaraẹnisọrọ ati oye laarin awọn olukopa ilana jẹ pataki.
Awọn eniyan ṣe pataki julọ, kii ṣe awọn irinṣẹ.
Nigbagbogbo, siseto fun ilana idagbasoke to ni aabo bẹrẹ pẹlu yiyan ati rira ọpa kan, o si pari pẹlu awọn igbiyanju lati ṣepọ ọpa sinu ilana lọwọlọwọ, eyiti o wa awọn igbiyanju. Eyi nyorisi awọn abajade lailoriire, nitori gbogbo awọn irinṣẹ ni awọn abuda ti ara wọn ati awọn idiwọn.
Ọran ti o wọpọ ni nigbati ẹka aabo yan ohun elo ti o dara, gbowolori pẹlu awọn agbara jakejado, o wa si awọn olupilẹṣẹ lati ṣepọ si ilana naa. Ṣugbọn ko ṣiṣẹ - ilana naa ti ni eto ni ọna ti awọn idiwọn ti ohun elo ti o ti ra tẹlẹ ko baamu si paragis lọwọlọwọ.
Ni akọkọ, ṣe apejuwe iru abajade ti o fẹ ati kini ilana naa yoo dabi. Eyi yoo ṣe iranlọwọ ni oye awọn ipa ti ọpa ati ailewu ninu ilana naa.
Bẹrẹ pẹlu ohun ti o ti wa ni lilo tẹlẹ
Ṣaaju rira awọn irinṣẹ gbowolori, wo ohun ti o ni tẹlẹ. Gbogbo ile-iṣẹ ni awọn ibeere aabo fun idagbasoke, awọn sọwedowo wa, awọn pentests - kilode ti o ko yi gbogbo eyi pada si fọọmu ti o ni oye ati irọrun fun gbogbo eniyan?
Nigbagbogbo awọn ibeere jẹ iwe Talmud ti o wa lori selifu kan. Ọran kan wa nigbati a wa si ile-iṣẹ kan lati wo awọn ilana ati beere lati rii awọn ibeere aabo fun sọfitiwia naa. Ọjọgbọn ti o ṣe pẹlu eyi lo igba pipẹ lati wa:
- Bayi, ibikan ninu awọn akọsilẹ ọna kan wa nibiti iwe-ipamọ yii wa.
Bi abajade, a gba iwe-ipamọ ni ọsẹ kan lẹhinna.
Fun awọn ibeere, awọn sọwedowo ati awọn ohun miiran, ṣẹda oju-iwe kan fun apẹẹrẹ. Iṣalaye - o rọrun fun gbogbo eniyan.
O rọrun lati ṣe atunṣe ohun ti o ni tẹlẹ ki o lo lati bẹrẹ.
Lo Aabo Awọn aṣaju-ija
Ni deede, ni ile-iṣẹ apapọ pẹlu awọn olupilẹṣẹ 100-200, alamọja aabo kan wa ti o ṣe awọn iṣẹ pupọ ati pe ko ni akoko ti ara lati ṣayẹwo ohun gbogbo. Paapa ti o ba gbiyanju ohun ti o dara julọ, on nikan kii yoo ṣayẹwo gbogbo koodu ti idagbasoke idagbasoke. Fun iru awọn ọran, ero kan ti ni idagbasoke - .
Awọn aṣaju aabo jẹ eniyan laarin ẹgbẹ idagbasoke ti o nifẹ si aabo ọja rẹ.
Asiwaju Aabo jẹ aaye titẹsi sinu ẹgbẹ idagbasoke ati ajihinrere aabo ti yiyi sinu ọkan.
Nigbagbogbo, nigbati alamọja aabo kan wa si ẹgbẹ idagbasoke kan ti o tọka aṣiṣe kan ninu koodu naa, o gba idahun iyalẹnu kan:
- Ati tani iwọ? Mo n rii ọ fun igba akọkọ. Ohun gbogbo dara pẹlu mi - ọrẹ giga mi fun mi ni “waye” lori atunyẹwo koodu, a tẹsiwaju!
Eyi jẹ ipo aṣoju, nitori igbẹkẹle diẹ sii wa ninu awọn agbalagba tabi awọn ẹlẹgbẹ larọwọto pẹlu ẹniti olupilẹṣẹ n ṣe ajọṣepọ nigbagbogbo ni iṣẹ ati ni atunyẹwo koodu. Ti o ba jẹ pe, dipo aṣoju aabo, Alakoso Aabo ṣe afihan aṣiṣe ati awọn abajade, lẹhinna ọrọ rẹ yoo ni iwuwo diẹ sii.
Paapaa, awọn olupilẹṣẹ mọ koodu wọn dara julọ ju alamọja aabo eyikeyi. Fun eniyan ti o ni o kere ju awọn iṣẹ akanṣe 5 ni ohun elo itupalẹ aimi, o nira nigbagbogbo lati ranti gbogbo awọn nuances. Awọn aṣaju aabo mọ ọja wọn: kini ibaraenisepo pẹlu kini ati kini lati wo ni akọkọ - wọn munadoko diẹ sii.
Nitorinaa ronu imuse Awọn aṣaju Aabo ati faagun ipa ti ẹgbẹ aabo rẹ. Eyi tun wulo fun aṣaju funrararẹ: idagbasoke ọjọgbọn ni aaye tuntun kan, faagun awọn iwoye imọ-ẹrọ rẹ, imudara imọ-ẹrọ, iṣakoso ati awọn ọgbọn olori, jijẹ iye ọja. Eyi jẹ diẹ ninu eroja ti imọ-ẹrọ awujọ, “oju” rẹ ninu ẹgbẹ idagbasoke.
Awọn ipele idanwo
wi pe 20% akitiyan fun wa 80% ti awọn esi. 20% yii jẹ awọn iṣe itupalẹ ohun elo ti o le ati pe o yẹ ki o jẹ adaṣe. Awọn apẹẹrẹ ti iru awọn iṣẹ ṣiṣe jẹ itupalẹ aimi - SAST, itupalẹ agbara - DAST и Ṣiṣakoso orisun orisun. Emi yoo sọ fun ọ diẹ sii nipa awọn iṣẹ ṣiṣe, ati nipa awọn irinṣẹ, awọn ẹya wo ni a maa n ba pade nigba ti n ṣafihan wọn sinu ilana, ati bii o ṣe le ṣe deede.
Awọn iṣoro akọkọ ti awọn irinṣẹ
Emi yoo ṣe afihan awọn iṣoro ti o wulo fun gbogbo awọn ohun elo ati pe o nilo akiyesi. Emi yoo ṣe itupalẹ wọn ni awọn alaye diẹ sii ki o ma ba tun wọn ṣe siwaju.
Long onínọmbà akoko. Ti o ba jẹ pe lati ifaramo lati tu silẹ o gba to iṣẹju 30 fun gbogbo awọn idanwo ati apejọ, lẹhinna awọn sọwedowo aabo alaye yoo gba ọjọ kan. Nitorinaa ko si ẹnikan ti yoo fa fifalẹ ilana naa. Ṣe ẹya ara ẹrọ yii sinu akọọlẹ ki o fa awọn ipinnu.
Ipele giga Eke Negetifu tabi Eke Rere. Gbogbo awọn ọja yatọ, gbogbo wọn lo awọn ilana oriṣiriṣi ati ara ifaminsi tiwọn. Lori awọn ipilẹ koodu ati imọ-ẹrọ ọtọtọ, awọn irinṣẹ le ṣafihan awọn ipele oriṣiriṣi ti Irọrun Irọ ati Irera eke. Nitorinaa wo kini gangan wa ninu rẹ ilé iṣẹ ati fun rẹ awọn ohun elo yoo ṣe afihan awọn abajade to dara ati igbẹkẹle.
Ko si awọn akojọpọ pẹlu awọn irinṣẹ to wa tẹlẹ. Wo awọn irinṣẹ ni awọn ofin ti awọn iṣọpọ pẹlu ohun ti o ti lo tẹlẹ. Fun apẹẹrẹ, ti o ba ni Jenkins tabi TeamCity, ṣayẹwo isọpọ ti awọn irinṣẹ pẹlu sọfitiwia yii, kii ṣe pẹlu GitLab CI, eyiti iwọ ko lo.
Aini tabi apọju idiju ti isọdi. Ti ọpa kan ko ba ni API, lẹhinna kilode ti o nilo? Ohun gbogbo ti o le ṣee ṣe ni wiwo yẹ ki o wa nipasẹ API. Bi o ṣe yẹ, ọpa yẹ ki o ni agbara lati ṣe awọn sọwedowo.
Ko si Ọja Development Roadmap. Idagbasoke ko duro jẹ, a nigbagbogbo nlo awọn ilana ati awọn iṣẹ titun, ti n tun koodu atijọ kọ sinu awọn ede titun. A fẹ lati rii daju pe ohun elo ti a ra yoo ṣe atilẹyin awọn ilana ati imọ-ẹrọ tuntun. Nitorinaa, o ṣe pataki lati mọ pe ọja naa ni gidi ati pe o tọ idagbasoke.
Awọn ẹya ara ẹrọ ilana
Ni afikun si awọn ẹya ara ẹrọ ti awọn irinṣẹ, ṣe akiyesi awọn ẹya ara ẹrọ ti ilana idagbasoke. Fun apẹẹrẹ, idilọwọ idagbasoke jẹ aṣiṣe ti o wọpọ. Jẹ ki a wo kini awọn ẹya miiran yẹ ki o ṣe akiyesi ati kini ẹgbẹ aabo yẹ ki o san ifojusi si.
Ni ibere ki o maṣe padanu idagbasoke ati awọn akoko ipari, ṣẹda o yatọ si awọn ofin ati ki o yatọ show stoppers - awọn ibeere fun didaduro ilana kikọ ni iwaju awọn ailagbara - fun orisirisi ayika. Fun apẹẹrẹ, a loye pe ẹka lọwọlọwọ lọ si iduro idagbasoke tabi UAT, eyiti o tumọ si pe a ko da duro ati sọ:
“O ni awọn ailagbara nibi, iwọ kii yoo lọ nibikibi siwaju!”
Ni aaye yii, o ṣe pataki lati sọ fun awọn olupilẹṣẹ pe awọn ọran aabo wa ti o nilo akiyesi.
Iwaju awọn ailagbara kii ṣe idiwọ si idanwo siwaju sii: Afowoyi, Integration tabi Afowoyi. Lori awọn miiran ọwọ, a nilo lati bakan mu awọn aabo ti awọn ọja, ati ki Difelopa ma ko gbagbe ohun ti won ri ailewu. Nitorinaa, nigbakan a ṣe eyi: ni imurasilẹ, nigbati o ba ti yiyi si agbegbe idagbasoke, a kan leti idagbasoke naa:
- Awọn eniyan, o ni awọn iṣoro, jọwọ ṣe akiyesi wọn.
Ni ipele UAT a tun ṣafihan awọn ikilọ nipa awọn ailagbara, ati ni ipele itusilẹ a sọ pe:
- Awọn eniyan, a kilọ fun ọ ni ọpọlọpọ igba, iwọ ko ṣe ohunkohun - a kii yoo jẹ ki o jade pẹlu eyi.
Ti a ba sọrọ nipa koodu ati awọn dainamiki, lẹhinna o jẹ dandan lati ṣafihan ati kilọ nipa awọn ailagbara nikan ti awọn ẹya ati koodu ti o kan kọ ni ẹya yii. Ti olupilẹṣẹ ba gbe bọtini kan nipasẹ awọn piksẹli 3 ati pe a sọ fun u pe o ni abẹrẹ SQL kan nibẹ ati nitorinaa o nilo lati tunṣe ni iyara, eyi jẹ aṣiṣe. Wo ohun ti a kọ ni bayi ati ni iyipada ti o wa si ohun elo naa.
Jẹ ki a sọ pe a ni abawọn iṣẹ-ṣiṣe kan - ọna ti ohun elo ko yẹ ki o ṣiṣẹ: owo ko gbe, nigbati o ba tẹ bọtini kan ko si iyipada si oju-iwe ti o tẹle, tabi ọja naa ko ni fifuye. Awọn abawọn aabo - iwọnyi jẹ awọn abawọn kanna, ṣugbọn kii ṣe ni awọn ofin iṣẹ ṣiṣe, ṣugbọn ni aabo.
Kii ṣe gbogbo awọn iṣoro didara sọfitiwia jẹ awọn iṣoro aabo. Ṣugbọn gbogbo awọn iṣoro aabo ni ibatan si didara sọfitiwia. Sherif Mansour, Expedia.
Niwọn igba ti gbogbo awọn ailagbara jẹ awọn abawọn kanna, wọn yẹ ki o wa ni aaye kanna bi gbogbo awọn abawọn idagbasoke. Nitorinaa gbagbe nipa awọn ijabọ ati awọn PDFs ẹru ti ko si ẹnikan ti o ka.
Nigbati Mo n ṣiṣẹ ni ile-iṣẹ idagbasoke, Mo gba ijabọ kan lati awọn irinṣẹ itupalẹ aimi. Mo ṣí i, ẹ̀rù bà mí, mo ṣe kọfí, mo fi ojú ewé 350 já, mo pa á mọ́, mo sì ń ṣiṣẹ́. Awọn iroyin nla jẹ awọn iroyin ti o ku. Nigbagbogbo wọn ko lọ nibikibi, awọn lẹta ti paarẹ, gbagbe, sọnu, tabi iṣowo sọ pe o gba awọn ewu naa.
Kin ki nse? A kan yi iyipada awọn abawọn ti a fọwọsi ti a rii sinu fọọmu ti o rọrun fun idagbasoke, fun apẹẹrẹ, a fi wọn sinu ẹhin ẹhin ni Jira. A ṣe pataki awọn abawọn ati imukuro wọn ni aṣẹ pataki, pẹlu awọn abawọn iṣẹ ati awọn abawọn idanwo.
Aimi Analysis - SAST
Eyi jẹ itupalẹ koodu fun awọn ailagbara., sugbon o ni ko kanna bi SonarQube. A ko kan ṣayẹwo fun awọn ilana tabi ara. Nọmba awọn ọna ti a lo ninu itupalẹ: ni ibamu si igi ailagbara, ni ibamu si , nipa gbeyewo iṣeto ni awọn faili. Eyi ni gbogbo eyiti o kan koodu funrararẹ.
Aleebu ti ona: idamo awọn ailagbara ninu koodu ni ipele ibẹrẹ ti idagbasokenigba ti ko si awọn iduro tabi awọn irinṣẹ ti a ti ṣetan sibẹsibẹ, ati afikun Antivirus agbara: Ṣiṣayẹwo apakan ti koodu ti o ti yipada, ati ẹya nikan ti a nṣe lọwọlọwọ, eyiti o dinku akoko ọlọjẹ.
Минусы - Eyi ni aini atilẹyin fun awọn ede pataki.
Awọn akojọpọ pataki, eyiti o yẹ ki o wa ninu awọn irinṣẹ, ninu ero ero-ara mi:
- Ọpa Integration: Jenkins, TeamCity ati Gitlab CI.
- Ayika idagbasoke: Intellij IDEA, Visual Studio. O rọrun diẹ sii fun olupilẹṣẹ lati ma lọ kiri ni wiwo ti ko ni oye ti o tun nilo lati ṣe akori, ṣugbọn lati rii gbogbo awọn iṣọpọ pataki ati awọn ailagbara ti o rii ni ẹtọ ni aaye iṣẹ ni agbegbe idagbasoke tirẹ.
- Atunwo koodu: SonarQube ati atunyẹwo afọwọṣe.
- Awọn olutọpa abawọn: Jira ati Bugzilla.
Aworan naa fihan diẹ ninu awọn aṣoju ti o dara julọ ti itupalẹ aimi.
Kii ṣe awọn irinṣẹ ti o ṣe pataki, ṣugbọn ilana naa, nitorinaa awọn solusan Open Source ti o tun dara fun idanwo ilana naa.
Orisun Ṣiṣii SAST kii yoo rii nọmba nla ti awọn ailagbara tabi Awọn ṣiṣan data eka, ṣugbọn wọn le ati pe o yẹ ki o lo nigba kikọ ilana kan. Wọn ṣe iranlọwọ lati ni oye bi ilana naa yoo ṣe kọ, tani yoo dahun si awọn idun, tani yoo jabo, ati tani yoo jabo. Ti o ba fẹ ṣe ipele ibẹrẹ ti kikọ aabo koodu rẹ, lo awọn solusan Orisun Ṣii.
Bawo ni eyi ṣe le ṣepọ ti o ba wa ni ibẹrẹ irin-ajo rẹ ati pe ko ni nkankan: ko si CI, ko si Jenkins, ko si TeamCity? Jẹ ki ká ro Integration sinu awọn ilana.
CVS ipele Integration
Ti o ba ni Bitbucket tabi GitLab, o le ṣepọ ni ipele naa .
Nipa iṣẹlẹ - fa ìbéèrè, dá. O ṣayẹwo koodu naa ati ipo kikọ fihan boya ṣayẹwo aabo ti kọja tabi kuna.
Idahun. Dajudaju, esi nigbagbogbo nilo. Ti o ba kan ṣe aabo ni ẹgbẹ, fi sii sinu apoti kan ko sọ fun ẹnikẹni nipa rẹ, lẹhinna ni opin oṣu ti o da ọpọlọpọ awọn idun silẹ - eyi ko pe ko dara.
Integration pẹlu koodu awotẹlẹ eto
Ni ẹẹkan, a ṣe bi oluyẹwo aiyipada fun olumulo AppSec imọ-ẹrọ ni nọmba awọn iṣẹ akanṣe pataki. Ti o da lori boya a ṣe idanimọ awọn aṣiṣe ninu koodu tuntun tabi ko si awọn aṣiṣe, oluyẹwo ṣeto ipo lori ibeere fifa lati “gba” tabi “nilo iṣẹ” - boya ohun gbogbo dara, tabi awọn ọna asopọ si kini deede nilo lati ni ilọsiwaju. nilo lati wa ni ilọsiwaju. Fun Integration pẹlu awọn ti ikede ti o ti wa ni ti lọ sinu gbóògì, a ti jeki a àkópọ idinamọ ti o ba ti alaye aabo igbeyewo ti wa ni ko koja. A fi eyi sinu atunyẹwo koodu afọwọṣe, ati awọn olukopa miiran ninu ilana naa rii awọn ipo aabo fun ilana pataki yii.
Integration pẹlu SonarQube
Ọpọlọpọ ni ni awọn ofin ti koodu didara. O jẹ kanna nibi - o le ṣe awọn ẹnu-ọna kanna fun awọn irinṣẹ SAST nikan. Ni wiwo kanna yoo wa, ẹnu-ọna didara kanna, nikan ni yoo pe aabo ẹnu-bode. Ati paapaa, ti o ba ni ilana nipa lilo SonarQube, o le ni irọrun ṣepọ ohun gbogbo nibẹ.
Integration ni ipele CI
Ohun gbogbo nibi tun rọrun:
- Ni ipele pẹlu autotests, awọn idanwo ẹyọkan.
- Pipin nipasẹ awọn ipele idagbasoke: dev, idanwo, prod. Awọn eto ofin oriṣiriṣi tabi awọn ipo ikuna oriṣiriṣi le wa pẹlu: da apejọ duro, maṣe da apejọ naa duro.
- Ifilọlẹ amuṣiṣẹpọ/asopọmọra. A n duro de opin awọn idanwo aabo tabi rara. Iyẹn ni, a kan ṣe ifilọlẹ wọn ati tẹsiwaju, lẹhinna a gba ipo pe ohun gbogbo dara tabi ko dara.
Gbogbo rẹ wa ni agbaye Pink pipe. Ko si iru nkan bẹẹ ni igbesi aye gidi, ṣugbọn a tiraka. Abajade ti ṣiṣe awọn sọwedowo aabo yẹ ki o jẹ iru si awọn abajade ti awọn idanwo ẹyọkan.
Fun apẹẹrẹ, a mu iṣẹ akanṣe nla kan ati pinnu pe ni bayi a yoo ṣe ọlọjẹ pẹlu SAST - O DARA. A ṣe iṣẹ akanṣe yii sinu SAST, o fun wa ni awọn ailagbara 20 ati nipasẹ ipinnu ti o lagbara ti a pinnu pe ohun gbogbo dara. Awọn ailagbara 000 jẹ gbese imọ-ẹrọ wa. A yoo fi gbese naa sinu apoti kan, a yoo rọra yọ kuro ki o si fi awọn idun si awọn olutọpa abawọn. Jẹ ki a bẹwẹ ile-iṣẹ kan, ṣe ohun gbogbo funrararẹ, tabi ni Awọn aṣaju Aabo ṣe iranlọwọ fun wa - ati gbese imọ-ẹrọ yoo dinku.
Ati gbogbo awọn ailagbara tuntun ti n yọ jade ninu koodu tuntun gbọdọ jẹ imukuro ni ọna kanna bi awọn aṣiṣe ni ẹyọkan tabi ni awọn idanwo adaṣe. Ni ibatan sọrọ, apejọ naa bẹrẹ, a ran o, awọn idanwo meji ati awọn idanwo aabo meji kuna. O dara - a lọ, wo ohun ti o ṣẹlẹ, ṣe atunṣe ohun kan, ti o ṣe atunṣe miiran, ṣiṣe ni akoko atẹle - ohun gbogbo dara, ko si awọn ailagbara tuntun ti o han, ko si awọn idanwo kuna. Ti iṣẹ-ṣiṣe yii ba jinlẹ ati pe o nilo lati ni oye rẹ daradara, tabi titunṣe awọn ailagbara yoo ni ipa lori awọn ipele nla ti ohun ti o wa labẹ hood: a ṣafikun kokoro kan si olutọpa abawọn, o jẹ pataki ati atunse. Laanu, agbaye ko pe ati pe awọn idanwo nigba miiran kuna.
Apeere ti ẹnu-ọna aabo jẹ afọwọṣe ti ẹnu-ọna didara, ni awọn ofin ti wiwa ati nọmba awọn ailagbara ninu koodu naa.
A ṣepọ pẹlu SonarQube - itanna ti fi sori ẹrọ, ohun gbogbo rọrun pupọ ati itura.
Integration pẹlu idagbasoke ayika
Awọn aṣayan imudarapọ:
- Ṣiṣe ọlọjẹ kan lati agbegbe idagbasoke ṣaaju ṣiṣe.
- Wo awọn abajade.
- Onínọmbà ti awọn esi.
- Amuṣiṣẹpọ pẹlu olupin naa.
Eyi ni ohun ti o dabi lati gba awọn abajade lati ọdọ olupin naa.
Ni agbegbe idagbasoke wa ohun afikun kan han nirọrun ti o sọ fun ọ pe iru awọn ailagbara ni a rii lakoko ọlọjẹ naa. O le lẹsẹkẹsẹ ṣatunkọ koodu, wo awọn iṣeduro ati . Gbogbo eyi wa ni ibi iṣẹ ti olupilẹṣẹ, eyiti o rọrun pupọ - ko si iwulo lati tẹle awọn ọna asopọ miiran ati wo nkan afikun.
Orisun Orisun
Eyi ni koko-ọrọ ayanfẹ mi. Gbogbo eniyan lo awọn ile-ikawe Orisun Ṣiṣii - kilode ti o kọ ọpọlọpọ awọn crutches ati awọn kẹkẹ nigba ti o le mu ile-ikawe ti a ti ṣetan ninu eyiti ohun gbogbo ti ṣe imuse tẹlẹ?
Nitoribẹẹ, eyi jẹ otitọ, ṣugbọn awọn ile-ikawe tun kọ nipasẹ awọn eniyan, wọn tun pẹlu awọn eewu kan ati pe awọn ailagbara tun wa ti o jẹ igbagbogbo, tabi nigbagbogbo, royin. Nitorinaa, igbesẹ ti n tẹle wa ni Aabo Ohun elo - eyi ni itupalẹ awọn paati orisun orisun.
Ṣiṣayẹwo Orisun Orisun - OSA
Ọpa naa pẹlu awọn ipele nla mẹta.
Wiwa fun awọn ailagbara ni awọn ile-ikawe. Fun apẹẹrẹ, ọpa naa mọ pe a nlo diẹ ninu ile-ikawe, ati pe ninu tabi diẹ ninu awọn ailagbara wa ninu awọn olutọpa kokoro ti o ni ibatan si ẹya ti ile-ikawe yii. Nigbati o ba gbiyanju lati lo, ọpa naa yoo funni ni ikilọ pe ile-ikawe jẹ ipalara ati gba ọ niyanju lati lo ẹya miiran ti ko ni awọn ailagbara.
Onínọmbà ti mimọ iwe-aṣẹ. Eyi kii ṣe olokiki paapaa nibi sibẹsibẹ, ṣugbọn ti o ba ṣiṣẹ ni ilu okeere, lẹhinna lati igba de igba o le gba owo-ori nibẹ fun lilo paati orisun ṣiṣi ti ko le ṣee lo tabi yipada. Gẹgẹbi ilana ile-ikawe ti o ni iwe-aṣẹ, a ko le ṣe eyi. Tabi, ti a ba ṣe atunṣe ti a si lo, o yẹ ki a fi koodu wa ranṣẹ. Nitoribẹẹ, ko si ẹnikan ti o fẹ lati ṣe atẹjade koodu ti awọn ọja wọn, ṣugbọn o tun le daabobo ararẹ kuro ninu eyi.
Onínọmbà ti awọn paati ti o lo ni agbegbe ile-iṣẹ kan. Jẹ ki a foju inu wo ipo arosọ kan ti a ti pari idagbasoke nikẹhin ati tu idasilẹ tuntun ti microservice wa. O ngbe ibẹ ni iyalẹnu - ọsẹ kan, oṣu kan, ọdun kan. A ko gba o, a ko ṣe awọn sọwedowo ailewu, ohun gbogbo dabi pe o dara. Ṣugbọn lojiji, ọsẹ meji lẹhin itusilẹ, ailagbara pataki kan han ninu paati Orisun Ṣiṣii, eyiti a lo ninu ikole pato yii, ni agbegbe ile-iṣẹ. Ti a ko ba ṣe igbasilẹ kini ati ibiti a ti lo, lẹhinna a kii yoo rii ailagbara yii. Diẹ ninu awọn irinṣẹ ni agbara lati ṣe atẹle awọn ailagbara ni awọn ile-ikawe ti o lo lọwọlọwọ ni ile-iṣẹ naa. O wulo pupọ.
Awọn ẹya ara ẹrọ:
- Awọn eto imulo oriṣiriṣi fun awọn ipele idagbasoke ti o yatọ.
- Mimojuto irinše ni ohun ise ayika.
- Iṣakoso ti awọn ikawe laarin ajo.
- Atilẹyin fun ọpọlọpọ awọn ọna ṣiṣe ati awọn ede.
- Onínọmbà ti awọn aworan Docker.
Awọn apẹẹrẹ diẹ ti awọn oludari ile-iṣẹ ti o ṣiṣẹ ni itupalẹ Orisun Open.
Ọfẹ nikan ni eyi lati OWASP. O le tan-an ni awọn ipele akọkọ, wo bi o ṣe n ṣiṣẹ ati ohun ti o ṣe atilẹyin. Ni ipilẹ, iwọnyi jẹ gbogbo awọn ọja awọsanma, tabi lori agbegbe, ṣugbọn lẹhin ipilẹ wọn wọn tun firanṣẹ si Intanẹẹti. Wọn ko firanṣẹ awọn ile-ikawe rẹ, ṣugbọn hashes tabi awọn iye tiwọn, eyiti wọn ṣe iṣiro, ati awọn ika ọwọ si olupin wọn lati gba alaye nipa wiwa awọn ailagbara.
Isopọpọ ilana
Agbeegbe Iṣakoso ti awọn ìkàwé, eyi ti o ti wa ni gbaa lati ita awọn orisun. A ni awọn ibi ipamọ ita ati inu. Fun apẹẹrẹ, Iṣẹlẹ Central nṣiṣẹ Nesusi, ati pe a fẹ lati rii daju pe ko si awọn ailagbara laarin ibi ipamọ wa pẹlu ipo “pataki” tabi “giga”. O le tunto proxying nipa lilo ohun elo Nesusi Firewall Lifecycle ki iru awọn ailagbara ti ge kuro ki o ma ṣe pari ni ibi ipamọ inu.
Integration sinu CI. Ni ipele kanna pẹlu awọn adaṣe adaṣe, awọn idanwo ẹyọkan ati pipin si awọn ipele idagbasoke: dev, idanwo, prod. Ni ipele kọọkan, o le ṣe igbasilẹ eyikeyi awọn ile-ikawe, lo ohunkohun, ṣugbọn ti o ba jẹ nkan ti o le pẹlu ipo “pataki”, boya o tọ lati fa akiyesi awọn olupilẹṣẹ si eyi ni ipele ti itusilẹ sinu iṣelọpọ.
Integration pẹlu onisebaye: Nesusi ati JFrog.
Ijọpọ sinu ayika idagbasoke. Awọn irinṣẹ ti o yan yẹ ki o ni isọpọ pẹlu awọn agbegbe idagbasoke. Olùgbéejáde gbọdọ ni iraye si awọn abajade ọlọjẹ lati ibi iṣẹ rẹ, tabi agbara lati ṣe ọlọjẹ ati ṣayẹwo koodu funrararẹ fun awọn ailagbara ṣaaju ṣiṣe si CVS.
CD Integration. Eyi jẹ ẹya ti o tutu ti Mo fẹran gaan ati eyiti Mo ti sọrọ tẹlẹ - ṣe abojuto ifarahan ti awọn ailagbara tuntun ni agbegbe ile-iṣẹ kan. O ṣiṣẹ nkankan bi yi.
A ni Awọn ibi ipamọ ohun elo ti gbogbo eniyan - diẹ ninu awọn irinṣẹ ita, ati ibi ipamọ inu wa. A fẹ ki o ni awọn paati igbẹkẹle nikan. Nigbati o ba n ṣe aṣoju ibeere kan, a ṣayẹwo pe ile-ikawe ti a ṣe igbasilẹ ko ni awọn ailagbara. Ti o ba ṣubu labẹ awọn eto imulo kan ti a ṣeto ati pe o jẹ dandan ni ipoidojuko pẹlu idagbasoke, lẹhinna a ko gbejade ati pe a ti ṣetan lati lo ẹya miiran. Nitorinaa, ti o ba jẹ nkan ti o ṣe pataki ati buburu ni ile-ikawe, lẹhinna olupilẹṣẹ kii yoo gba ile-ikawe ni ipele fifi sori ẹrọ - jẹ ki o lo ẹya ti o ga tabi kekere.
- Nigbati o ba n kọ, a ṣayẹwo pe ko si ẹnikan ti o yọkuro ohunkohun buburu, pe gbogbo awọn paati wa ni ailewu ati pe ko si ẹnikan ti o mu ohunkohun ti o lewu lori kọnputa filasi naa.
- A ni awọn paati igbẹkẹle nikan ni ibi ipamọ.
- Nigba gbigbe, a tun ṣayẹwo package funrararẹ: ogun, idẹ, DL tabi aworan Docker lati rii daju pe o ni ibamu pẹlu eto imulo naa.
- Nigbati o ba n wọle si ile-iṣẹ naa, a ṣe atẹle ohun ti n ṣẹlẹ ni agbegbe ile-iṣẹ: awọn ailagbara pataki han tabi ko han.
Ìmúdàgba Analysis - DAST
Awọn irinṣẹ itupalẹ ti o ni agbara yatọ ni ipilẹ si ohun gbogbo ti a ti sọ tẹlẹ. Eyi jẹ iru apẹẹrẹ ti iṣẹ olumulo pẹlu ohun elo naa. Ti eyi ba jẹ ohun elo wẹẹbu kan, a firanṣẹ awọn ibeere, simulating iṣẹ ti alabara, tẹ awọn bọtini ni iwaju, firanṣẹ data atọwọda lati fọọmu naa: awọn agbasọ, awọn biraketi, awọn ohun kikọ ni awọn koodu oriṣiriṣi, lati rii bii ohun elo naa ṣe n ṣiṣẹ ati awọn ilana ita data.
Eto kanna n gba ọ laaye lati ṣayẹwo awọn ailagbara awoṣe ni Orisun Ṣii. Niwọn bi DAST ko mọ iru Orisun Ṣii ti a nlo, o kan ju awọn ilana “irira” ati ṣe itupalẹ awọn idahun olupin naa:
- Bẹẹni, iṣoro deserialization kan wa nibi, ṣugbọn kii ṣe nibi.
Awọn ewu nla wa ninu eyi, nitori ti o ba ṣe idanwo aabo yii lori ibujoko kanna ti awọn oludanwo ṣiṣẹ pẹlu, awọn ohun aibanujẹ le ṣẹlẹ.
- Ẹru giga lori nẹtiwọọki olupin ohun elo.
- Ko si awọn akojọpọ.
- Agbara lati yi awọn eto ti ohun elo atupale pada.
- Ko si atilẹyin fun awọn imọ-ẹrọ pataki.
- Iṣoro ṣeto.
A ni ipo kan nigba ti a ṣe ifilọlẹ AppScan nikẹhin: a lo igba pipẹ lati gbiyanju lati wọle si ohun elo naa, ni awọn akọọlẹ 3 ati pe inu wa dun - a yoo ṣayẹwo ohun gbogbo nikẹhin! A ṣe ifilọlẹ ọlọjẹ kan, ati pe ohun akọkọ ti AppScan ṣe ni lọ sinu igbimọ abojuto, gun gbogbo awọn bọtini, yi idaji data pada, lẹhinna pa olupin naa patapata pẹlu rẹ. -awọn ibeere. Idagbasoke pẹlu idanwo sọ:
- Awọn enia buruku, ṣe o n ṣere fun mi?! A fun ọ ni awọn akọọlẹ, ati pe o ṣeto iduro kan!
Wo awọn ewu ti o ṣeeṣe. Bi o ṣe yẹ, mura imurasilẹ lọtọ fun aabo alaye idanwo, eyiti yoo ya sọtọ lati iyoku agbegbe o kere ju bakan, ati ṣayẹwo ni ipo abojuto nronu, ni pataki ni ipo afọwọṣe. Eyi jẹ pentest - awọn ipin ogorun akitiyan ti o ku ti a ko gbero ni bayi.
O tọ lati gbero pe o le lo eyi bi afọwọṣe ti idanwo fifuye. Ni ipele akọkọ, o le tan-an ọlọjẹ ti o ni agbara pẹlu awọn okun 10-15 ki o wo ohun ti o ṣẹlẹ, ṣugbọn nigbagbogbo, bi iṣe ṣe fihan, ko si ohun ti o dara.
Awọn orisun diẹ ti a lo nigbagbogbo.
Tọ lati ṣe afihan ni a "Swiss ọbẹ" fun eyikeyi aabo ọjọgbọn. Gbogbo eniyan lo ati pe o rọrun pupọ. Ẹya demo tuntun ti ẹda ile-iṣẹ ti tu silẹ ni bayi. Ti o ba jẹ iṣaaju o jẹ ohun elo iduro nikan pẹlu awọn afikun, ni bayi awọn olupilẹṣẹ n ṣe olupin nla kan lati eyiti yoo ṣee ṣe lati ṣakoso awọn aṣoju pupọ. Eyi dara, Mo ṣeduro pe ki o gbiyanju rẹ.
Isopọpọ ilana
Ijọpọ ṣẹlẹ daradara ati irọrun: bẹrẹ ọlọjẹ lẹhin fifi sori aṣeyọri awọn ohun elo fun imurasilẹ ati wíwo lẹhin aseyori Integration igbeyewo.
Ti awọn iṣọpọ ko ba ṣiṣẹ tabi awọn stubs ati awọn iṣẹ ẹgan wa, asan ati asan - laibikita iru apẹẹrẹ ti a firanṣẹ, olupin naa yoo tun dahun ni ọna kanna.
- Ni deede, iduro idanwo lọtọ.
- Ṣaaju idanwo, kọ si isalẹ ọna iwọle.
- Idanwo ti eto iṣakoso jẹ afọwọṣe nikan.
Ilana
Apejuwe kekere kan nipa ilana ni gbogbogbo ati nipa iṣẹ ti ọpa kọọkan ni pataki. Gbogbo awọn ohun elo yatọ - ọkan ṣiṣẹ dara julọ pẹlu itupalẹ agbara, omiiran pẹlu itupalẹ aimi, ẹkẹta pẹlu itupalẹ OpenSource, awọn pentests, tabi nkan miiran lapapọ, fun apẹẹrẹ, awọn iṣẹlẹ pẹlu .
Gbogbo ilana nilo iṣakoso.
Lati loye bii ilana kan ṣe n ṣiṣẹ ati nibiti o ti le ni ilọsiwaju, o nilo lati gba awọn metiriki lati ohun gbogbo ti o le gba ọwọ rẹ, pẹlu awọn metiriki iṣelọpọ, awọn metiriki lati awọn irinṣẹ, ati lati ọdọ awọn olutọpa abawọn.
Alaye eyikeyi jẹ iranlọwọ. O jẹ dandan lati wo lati awọn igun oriṣiriṣi ni ibiti eyi tabi ọpa naa ti lo dara julọ, nibiti ilana naa ṣe pataki. O le tọ lati wo awọn akoko idahun idagbasoke lati rii ibiti o le ṣe ilọsiwaju ilana ti o da lori akoko. Awọn data diẹ sii, awọn apakan diẹ sii ni a le kọ lati ipele-oke si awọn alaye ti ilana kọọkan.
Niwọn igba ti gbogbo awọn olutupalẹ aimi ati agbara ni awọn API tiwọn, awọn ọna ifilọlẹ tiwọn, awọn ipilẹ, diẹ ninu ni awọn oluṣeto, awọn miiran ko ṣe - a nkọ ohun elo kan AppSec Orchestrator, Eyi ti o fun laaye laaye lati ṣẹda aaye titẹsi kan si gbogbo ilana lati inu ọja naa ati ṣakoso rẹ lati aaye kan.
Awọn alakoso, awọn olupilẹṣẹ ati awọn ẹlẹrọ aabo ni aaye titẹsi kan lati eyiti wọn le rii ohun ti nṣiṣẹ, tunto ati ṣiṣe ọlọjẹ kan, gba awọn abajade ọlọjẹ, ati fi awọn ibeere silẹ. A n gbiyanju lati lọ kuro ni awọn iwe-kikọ, lati tumọ ohun gbogbo si eniyan, eyiti o jẹ lilo nipasẹ idagbasoke - awọn oju-iwe lori Confluence pẹlu ipo ati awọn metiriki, awọn abawọn ni Jira tabi ni orisirisi awọn olutọpa abawọn, tabi iṣọpọ sinu ilana amuṣiṣẹpọ / asynchronous ni CI. /CD.
Awọn Iparo bọtini
Awọn irinṣẹ kii ṣe nkan akọkọ. Ni akọkọ ronu nipasẹ ilana naa - lẹhinna ṣe awọn irinṣẹ. Awọn irinṣẹ dara ṣugbọn gbowolori, nitorinaa o le bẹrẹ pẹlu ilana ati kọ ibaraẹnisọrọ ati oye laarin idagbasoke ati aabo. Lati oju-ọna aabo, ko si ye lati "daduro" ohun gbogbo. Lati oju-ọna idagbasoke, ti o ba wa ni nkan ti o ga julọ ti o ga julọ ti o ga julọ, lẹhinna o nilo lati yọ kuro, ki o ma ṣe fi oju afọju si iṣoro naa.
Didara ọja - wọpọ ìlépa mejeeji aabo ati idagbasoke. A ṣe ohun kan, a gbiyanju lati rii daju pe ohun gbogbo ṣiṣẹ bi o ti tọ ati pe ko si awọn ewu olokiki tabi awọn adanu owo. Eyi ni idi ti a ṣe igbega DevSecOps kan, ọna SecDevOps lati mu ibaraẹnisọrọ dara ati ilọsiwaju didara ọja naa.
Bẹrẹ pẹlu ohun ti o ni tẹlẹ: ibeere, faaji, apa kan sọwedowo, trainings, itọnisọna. Ko si iwulo lati lo gbogbo awọn iṣe lẹsẹkẹsẹ si gbogbo awọn iṣẹ akanṣe - gbe iteratively. Ko si boṣewa ẹyọkan - ṣàdánwò ati gbiyanju awọn ọna oriṣiriṣi ati awọn ojutu.
Ami dogba wa laarin awọn abawọn aabo alaye ati awọn abawọn iṣẹ.
Ṣe adaṣe ohun gbogboti o gbe. Ohunkohun ti ko ba gbe, gbe o ati ki o automate o. Ti o ba ti nkankan ti wa ni ṣe nipa ọwọ, o jẹ ko kan ti o dara apa ti awọn ilana. Boya o tọ lati ṣe atunwo rẹ ati adaṣe paapaa.
Ti iwọn ẹgbẹ IS ba kere - lo Aabo Awọn aṣaju-ija.
Boya ohun ti Mo ti sọrọ nipa kii yoo baamu fun ọ ati pe iwọ yoo wa pẹlu nkan ti tirẹ - ati pe iyẹn dara. Sugbon yan irinṣẹ da lori awọn ibeere fun ilana rẹ. Maṣe wo ohun ti agbegbe sọ pe irinṣẹ yii ko dara ati pe eyi dara. Boya idakeji yoo jẹ otitọ fun ọja rẹ.
Awọn ibeere fun irinṣẹ.
- Low ipele Eke Rere.
- Deede onínọmbà akoko.
- Awọn wewewe ti lilo.
- Wiwa ti awọn akojọpọ.
- Loye ọna-ọna idagbasoke ọja.
- O ṣeeṣe ti isọdi awọn irinṣẹ.
Ijabọ Yuri ni a yan gẹgẹbi ọkan ninu awọn ti o dara julọ ni DevOpsConf 2018. Lati ni ibatan pẹlu awọn imọran ti o nifẹ diẹ sii ati awọn ọran iṣe, wa si Skolkovo ni Oṣu Karun ọjọ 27 ati 28 laarin . Dara julọ sibẹsibẹ, ti o ba ṣetan lati pin iriri rẹ, lẹhinna fun ijabọ naa titi di Oṣu Kẹrin Ọjọ 21.
orisun: www.habr.com