Gestion des vulnérabilités et DevSecOps avec CI/CD

En 2018, 90 % des institutions financières ont déclaré avoir été ciblées par des logiciels malveillants et les attaques de ransomware ont augmenté de 350 % à l'échelle mondiale la même année. En 2020, Twitter, la chaîne hôtelière Marriott, MGM Resorts, Zoom et Magellan Health ont tous signalé une forme de faille de sécurité [1]. Ces statistiques démontrent l'importance de la sécurité et de la gestion des vulnérabilités. Les organisations doivent intégrer la sécurité à leur processus de développement. Décomposons cela.

Forte adoption de DevOps

Le développement est le processus d'écriture et de maintenance du code. Il comprend toutes les activités nécessaires pour penser au logiciel ou à la fonctionnalité, puis l'introduire dans le « monde réel » pour les utilisateurs prévus. Les opérations ou les opérations informatiques font référence à l'ensemble des activités effectuées par le service informatique d'une organisation. Le service informatique définit la manière dont les logiciels et le matériel d'une organisation sont structurés, maintenus et gérés. Le développement nécessite des outils logiciels et le bon matériel. Le développement et l'informatique dépendent donc l'un de l'autre. DevOps est une approche du développement logiciel où, au lieu de fonctionner comme deux équipes cloisonnées distinctes, le développement et les opérations fonctionnent comme une seule équipe tout au long du cycle de vie d'une application. Reconnaissant les avantages de cette approche, la plupart des organisations utilisent aujourd'hui un modèle DevOps.

Voir aussi : L'état de la distribution de logiciels en 2020

La nécessité de DevSecOps

Cependant, un domaine important qui n’est pas couvert par le modèle DevOps est la sécurité, ce qui a donné naissance au besoin de DevSecOps. Les vulnérabilités de sécurité peuvent apparaître à plusieurs points du pipeline DevOps. Traditionnellement, la sécurité était ajoutée aux logiciels à la fin du cycle de vie du développement, mais tout comme l’approche du développement et des opérations a évolué vers DevOps, de nouvelles approches de gestion des vulnérabilités sont nécessaires. La sécurité doit faire partie du développement. Un système qui prend en compte le développement, les opérations et la sécurité comme un processus continu est appelé DevSecOps. La sécurité est intégrée à toutes les étapes de la conception du développement, de l’intégration, des tests, du déploiement et de la livraison. DevSecOps permet aux organisations de résoudre les problèmes de sécurité au fur et à mesure qu’ils surviennent. Les problèmes peuvent être résolus alors qu’ils sont plus faciles à résoudre, moins coûteux et avant qu’ils n’atteignent la production et ne causent des dommages.

Dans cet ebook de CircleCI, vous trouverez des informations sur la manière dont les développeurs modernes et les praticiens DevOps peuvent utiliser CI/CD pour adopter une approche DevSecOps de la gestion des vulnérabilités.

Source:

1. nd, « 2021 Cyber Security Statistics The Ultimate List Of Stats, Data & Trends », Purplesec [disponible en ligne] disponible à l'adresse : https://purplesec.us/resources/cyber-security-statistics/ [consulté en avril 2021]