Giải quyết vấn đề an ninh mạng có thể là một thách thức khi trọng tâm là tốc độ phát triển phần mềm và vòng đời sản xuất.
Việc thúc đẩy đổi mới và sáng tạo thường có thể thúc đẩy các nhà phát triển phần mềm di chuyển với tốc độ chóng mặt để cung cấp các ứng dụng, bản cập nhật và bản sửa lỗi mới — một tốc độ điên cuồng có thể dẫn đến việc giám sát an ninh.
DevSecOps — từ ghép dành cho các nhà phát triển, an ninh mạng và vận hành — là một phương pháp cộng tác đưa các nguyên tắc bảo mật ứng dụng vào hoạt động và phát triển phần mềm với ít ma sát nhất và linh hoạt nhất có thể. Mục đích? Sản phẩm có thể được tung ra với tốc độ nhanh mà không ảnh hưởng đến bảo mật ứng dụng.
Thêm bảo mật vào vòng đời phần mềm
DevSecOps đưa bảo mật vào sản phẩm ở mọi giai đoạn của quy trình phát triển và phân phối phần mềm, theo công ty tình báo phần mềm DynaTrace, công ty đã phát hành sách trắng về vấn đề này.
“DevSecOps cho phép khả năng hiển thị lỗ hổng mã; nó cũng cung cấp sự hiểu biết sâu sắc về cách mục tiêu chịu đựng một cuộc tấn công thực sự và kẻ tấn công có thể đi bao xa,” DynaTrace cho biết.
Edward Amoroso, Giám đốc điều hành của TABCyber, cho biết bảo mật trong hoạt động được thúc đẩy bởi tốc độ thay đổi cần được thực hiện.
“Có phải hoàn cảnh đang thay đổi từng giờ, từng phút, từng tháng? Nếu đó là máy điều hòa nhịp tim, thì phần mềm sẽ không được cập nhật, nếu là mạng xã hội thì đúng như vậy,” Amoroso nói. “Tôi có thực sự cần tự động hóa phép đo từ xa bảo mật DevOps cho một thiết bị không nhận được bản nâng cấp phần mềm không?”
NHÌN THẤY: Tại sao nhiều hơn không nhất thiết phải tốt hơn khi nói đến các giải pháp bảo mật.
Các yếu tố chính của DevSecOps
Dịch chuyển sang trái
Theo một số người trong ngành, “chuyển sang trái” có nghĩa là Xác định các lỗ hổng mã trong quá trình phát triển thay vì sản xuất — một động thái quan trọng, bởi vì tại sản xuất, việc thu hút các nhà phát triển khắc phục trở nên khó khăn hơn rất nhiều sau khi họ có thể đã chuyển sang các dự án khác (Hình ảnh A).
Hình ảnh A
Meredith Bell, Giám đốc điều hành của AutoRABIT, một nền tảng cho Salesforce DevSecOps cho biết: “’Chuyển sang trái’ là nguyên lý cốt lõi của DevSecOps, nhưng chúng tôi thực sự có thể tiến thêm một bước nữa.
“Chúng tôi cũng sử dụng ‘shift in’ để chỉ thực tiễn tạo ra một luồng liên lạc trong đó phản hồi liên tục chảy giữa mỗi bên liên quan,” Bell nói thêm.
Bell nói rằng bằng cách triển khai thực tiễn này, mọi người tham gia vào dự án vẫn nhận thức được tất cả các tình huống nên không có sự nhầm lẫn. “Một vòng tròn hành động, đo lường, điều chỉnh và cải tiến liên tục được tạo ra. Ông nói: “Các vòng phản hồi này thắt chặt và khuếch đại lẫn nhau để tạo ra một môi trường thuận lợi hơn cho mã sạch và an toàn”.
quy trình tự động
Tự động hóa giúp loại bỏ những sai sót của con người ra khỏi phần sản xuất của vòng đời phần mềm.
Theo công ty tình báo phần mềm DynaTrace, tự động hóa là một phần quan trọng của quy trình DevSecOps, nó được giải thích trong một báo cáo chính thức gần đây.
“… Các nhóm nên tự động hóa quá trình thử nghiệm, cũng như các quy trình công việc, chẳng hạn như cải tiến phần mềm từ thử nghiệm đến phát hành hoặc đưa mã vào kho lưu trữ,” công ty đã viết trong báo cáo của mình.
Amaroso cho biết có nhiều nhà cung cấp giải pháp tự động. “Hầu hết mọi người sẽ nói tự động tốt hơn là không, liên tục tốt hơn định kỳ và hoàn thành tốt hơn bảo hiểm không đầy đủ. Và có ít nhất 30 công ty khả thi về mặt thương mại đang làm việc này.”
Bảo mật phần mềm dễ dàng hơn
Các chuyên gia trong cả lĩnh vực nhà phát triển và bảo mật đều đồng ý rằng DevSecOps nên thu hút các nhà phát triển tham gia vào các mục tiêu bảo mật. Nair cho biết bảo mật hoạt động truyền thống từng là công việc của nhân viên tuân thủ, người sẽ tiến hành quét, tìm ra sự cố và báo cáo cho nhà phát triển.
“Sáu tháng sau khi xây dựng nó, phần mềm đó cũng có thể là mã của người khác. Đối phó với các phương pháp tập trung vào kiểm toán này là sự đổi mới đã tạo ra cái mà chúng tôi gọi là DevSec,” ông nói.
Nair cho biết các nhà phát triển hiếm khi gặp phải vấn đề bảo mật như một thông lệ.
“Các trường khoa học máy tính không dạy bảo mật,” anh nói.
Michael McGuire, giám đốc giải pháp phần mềm cao cấp tại Synopsys, cho biết ông đồng ý.
“Tôi đã từng là một nhà phát triển và không học được một điều gì về viết mã an toàn ở trường đại học. Tôi nghĩ rằng nó đang trở thành một chủ đề hơn nhưng bạn phải hiểu rằng, các nhà phát triển hiện đang viết rất nhiều mã này có thể không quan tâm đến bảo mật vì họ không được dạy về nó. Tôi chắc chắn không quan tâm. Đó là bởi vì mức độ giỏi của một nhà phát triển trong công việc của họ được quyết định bởi tốc độ họ có thể sửa một lỗi hoặc hoàn thành một phiếu yêu cầu và ra khỏi cửa một cách chất lượng,” McGuire nói.
Anh ấy nói rằng vì các nhà phát triển đang được yêu cầu quan tâm nhiều hơn đến bảo mật ứng dụng, nên các công cụ cần phải đáp ứng được vị trí của các nhà phát triển.
“Chúng tôi đang trên đường đến đó, và có rất nhiều lựa chọn ở đó,” McGuire nói.