日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

 將我們的DevSecOps方法分成多層，可以在對強大安全性的需求與快速移動并經(jīng)常部署的需求之間找到適當?shù)钠胶狻?/p>

創(chuàng)新互聯(lián)專注于普蘭網(wǎng)站建設服務及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供普蘭營銷型網(wǎng)站建設，普蘭網(wǎng)站制作、普蘭網(wǎng)頁設計、普蘭網(wǎng)站官網(wǎng)定制、小程序開發(fā)服務，打造普蘭網(wǎng)絡公司原創(chuàng)品牌,更為您提供普蘭網(wǎng)站排名全網(wǎng)營銷落地服務。

 DevOps運動改變了我們集成和發(fā)布的方式。它使我們從緩慢的發(fā)行周期(有時是每年的發(fā)行周期)過渡到每天(有時甚至是每小時)發(fā)行。我們能夠編寫代碼并幾乎立即看到生產(chǎn)中的變化。DevOps是突破壁壘并支持對市場變化、客戶需求快速響應的令人驚嘆的第一步，但是仍然需要打破一堵重要的壁壘，我們需要折中的一個重要群體：安全運營(SecOps)。

為了在生產(chǎn)變更持續(xù)集成和部署(CI/CD)中包括這個至關重要的小組，我們將DevOps重新定義為DevSecOps。我們在這項工作中面臨的挑戰(zhàn)與在將開發(fā)和運營整合在一起時所面臨的挑戰(zhàn)相同：開發(fā)人員希望快速行動并經(jīng)常進行更改，而運營則需要穩(wěn)定和不頻繁的更改。安全團隊傾向于支持穩(wěn)定性和不頻繁的更改，因為更改可能意味著重復安全測試并再次對環(huán)境進行認證。

當我們以DevOps的速度前進時，我們?nèi)绾纹谕@些團隊每天或每周重做他們的工作?

安全分層

在深入探討這個問題之前，我們應該談談一種關鍵的安全實踐：分層安全或深度防御。分層安全是一種應用多種安全措施的實踐，每一層都與前一層和下一層重疊，以創(chuàng)建一個安全控制網(wǎng)絡，這些網(wǎng)絡可以一起工作以保護技術系統(tǒng)。

 在分層安全方法中，公司通過使用諸如Wan 網(wǎng)關防火墻和靜態(tài)數(shù)據(jù)加密之類的訪問控制來減輕對技術系統(tǒng)的入侵。控件列表很廣泛，但要點是，沒有任何控件可以充分保護技術系統(tǒng)。同樣的方法適用于對我們的應用程序執(zhí)行安全性分析。

與公司的應用程序安全團隊聯(lián)系，詢問他們使用哪些掃描工具來確保編寫的應用程序安全?？赡艿氖?，他們不會使用一種工具進行答復，因為沒有一種工具可以全部完成。相反，他們可能會為您提供他們使用或期望開發(fā)團隊使用的工具列表或工具類型。

這使我們回到了之前的問題：在進行所有這些掃描并使用所有這些工具時，我們?nèi)绾纹谕S持一個持續(xù)的部署周期?這是一項艱巨的任務。其中一些掃描和工具需要花費數(shù)小時，數(shù)天或更長時間。

內(nèi)聯(lián)掃描

盡管某些安全工具和掃描器確實需要很長的時間才能運行，但仍有一些更快的工具可以在開發(fā)生命周期的早期使用，以形成我們的第一層DevSecOps。這就是左移背后的想法：將流程從開發(fā)生命周期的末尾(或右側)移到開始或中間，即再向左移。

第一層應包括需要幾秒鐘(或幾分鐘)運行的工具和掃描程序。一些常見的示例是代碼lint，單元測試，SonarQube之類的靜態(tài)代碼分析器，OWASP Dependency Checker等第三方依賴項漏洞檢查，以及集成測試的子集。

您可能會問：“整理代碼和運行單元測試如何適合DevSecOps?” 軟件中的錯誤可以為正在尋找的對手提供完美的解決方案。例如，OWASP在過去的兩個關鍵Web應用程序安全報告(2013年和2017年) 中將代碼注入列為第一漏洞。單元測試和靜態(tài)代碼分析可以幫助捕獲我們的一些錯誤，并可能有助于防止代碼中的安全漏洞。

由于這些工具掃描只需要很少的時間，因此最好將它們推到開發(fā)生命周期中的最左側。當開發(fā)人員將代碼推送到我們的Git存儲庫并打開請求時，這些工具和掃描程序將運行以確保代碼在合并之前通過。除了確保我們的主干分支保持可構建狀態(tài)外，在開發(fā)生命周期的早期就擁有這些工具還可以盡早且經(jīng)常向開發(fā)人員提供反饋。

部署前掃描

DevSecOps的第二層與我們的部署管道內(nèi)聯(lián)運行的工具，需要幾分鐘甚至一小時才能完成。這可能包括更深入的第三方漏洞掃描，Docker鏡像掃描和惡意軟件掃描。

該層的關鍵之一是，掃描器和工具在生成構建工件之后且在將它們存儲到Artifactory或Amazon Elastic Container Registry等任何位置之前都可以運行。更重要的是，此層中的任何故障都應立即停止當前部署，并向開發(fā)團隊提供反饋。

另一個關鍵是在這一層以及所有未來的層中實現(xiàn)并行化。開發(fā)人員希望盡快部署他們的更改，并且連續(xù)運行多次掃描(每次掃描可能長達一個小時)會不必要地減慢部署周期。通過并行運行這些工具，部署速度的降低等于運行時間最長的掃描。

部署后掃描

DevSecOps的下一層包括在將代碼部署到預生產(chǎn)環(huán)境之后我們可以使用的工具和掃描程序。這些工具可能包括性能和集成測試以及應用程序掃描程序，例如OWASP Zap。我們應該努力使這一層快速運行，希望在一小時或更短的時間內(nèi)運行，以向開發(fā)人員提供快速反饋并限制對CD流程的影響。

為確保我們不會錯誤地將易受攻擊的代碼部署到生產(chǎn)中，此層應作為CD管道的一部分運行，目的是在任何掃描程序發(fā)現(xiàn)漏洞或以下情況時刪除工件，回滾環(huán)境。否則失敗。

根據(jù)行業(yè)，安全性和法規(guī)要求，我們可以在此層成功完成后自動將部署到生產(chǎn)中。管道中應該已經(jīng)有足夠的自動掃描和測試，可以合理地證明應用程序的安全性和堅固性。

持續(xù)掃描

我們討論的大多數(shù)掃描儀和工具都已嵌入CI/CD管道中。我們的目標是在平衡這些工具對CI/CD管道的時間線的影響的同時，為應用程序的安全性提供合理的保證。

DevSecOps的最后一層是持續(xù)續(xù)掃描或持續(xù)續(xù)安全性(CS)。正如持續(xù)集成，測試和部署是DevOps的代名詞一樣，持續(xù)安全性是DevSecOps的代名詞和基石。該層包括Nessus，Qualys，IBM App Scan等工具，以及其他基礎結構，應用程序和網(wǎng)絡掃描工具。

CS并非嵌入在CI/CD管道中，而是作為異步的，并向開發(fā)人員提供持續(xù)的反饋。開發(fā)人員如何接收和響應該反饋需要進行討論和達成共識。開發(fā)人員將在收到任何反饋后立即對其進行處理，并在較長的周轉時間內(nèi)解決。

這些工具和掃描程序的啟動方式以及運行頻率是利益相關者應同意CS的另一個方面。部署完成后，可以通過CI/CD管道啟動具有API的工具。其他可能根據(jù)需要或基于一定的時間節(jié)奏來完成。無論如何完成，重要的是這些工具和掃描儀不會僅運行一次，甚至每年運行一次或兩次。相反，這些工具和掃描儀應盡可能頻繁地運行，并應對應用程序有意義。

結論

正如我們不能通過使用一兩個工具或安全性原則來確保技術系統(tǒng)的安全性一樣，我們應用程序的安全性也不能僅取決于一兩個工具或掃描儀的類型。它采用分層的方法來應用不同的工具和掃描程序，以合理地確保我們的應用程序及其運行的基礎結構的安全性。

關于我們澤陽，DevOps領域實踐者。專注于企業(yè)級DevOps運維開發(fā)技術實踐分享，主要以新Linux運維技術、DevOps技術課程為主。豐富的一線實戰(zhàn)經(jīng)驗，課程追求實用性獲得多數(shù)學員認可。課程內(nèi)容均來源于企業(yè)應用，在這里既學習技術又能獲取熱門技能，歡迎您的到來!(微信ID: devopsvip)

分享名稱：如何在整個DevOps中建立分層安全？
當前地址：http://www.dlmjj.cn/article/cdscopp.html