Sårbarhetshantering och DevSecOps med CI/CD

Under 2018 rapporterade 90 % av finansinstituten att ha drabbats av skadlig programvara och globalt ökade ransomware-attacker med 350 % samma år. År 2020 rapporterade Twitter, hotellkedjan Marriott, MGM Resorts, Zoom och Magellan health alla någon form av säkerhetsintrång [1]. Denna statistik visar vikten av säkerhet och sårbarhetshantering. Organisationer måste göra säkerhet till en del av sin utvecklingsprocess. Låt oss bryta ner det här.

Hög användning av DevOps

Utveckling är processen att skriva och underhålla kod. Det inkluderar alla aktiviteter som krävs för att tänka på programvara eller funktion och sedan föra in den i den "verkliga världen" för sina avsedda användare. Operations eller IT Operations hänvisar till den uppsättning aktiviteter som utförs av IT-avdelningen i en organisation. IT-avdelningen definierar hur en organisations mjukvara och hårdvara struktureras, underhålls och hanteras. Utveckling kräver mjukvaruverktyg och rätt hårdvara. Därför är utveckling och IT beroende av varandra. DevOps är ett tillvägagångssätt för mjukvaruutveckling där utveckling och drift, istället för att fungera som två separata siled team, fungerar som ett team över en applikations livscykel. De flesta organisationer inser fördelarna med detta tillvägagångssätt och använder idag en DevOps-modell.

Se även: The 2020 State of Software Delivery

Behovet av DevSecOps

Ett viktigt område som dock inte täcks av DevOps-modellen är säkerhet och detta har gett upphov till behovet av DevSecOps. Säkerhetssårbarheter kan dyka upp på flera punkter i DevOps pipeline. Konventionellt lades säkerhet till programvara i slutet av utvecklingslivscykeln, men precis som inställningen till utveckling och drift utvecklades till DevOps, finns det ett behov av nya metoder för sårbarhetshantering. Säkerhet måste bli en del av utvecklingen. Ett system som tar hänsyn till utveckling, drift och säkerhet som en kontinuerlig process kallas DevSecOps. Säkerhet är integrerad i alla stadier av utvecklingsdesign, integration, testning, driftsättning och leverans. DevSecOps tillåter organisationer att ta itu med säkerhetsproblem när de dyker upp. Problem kan lösas samtidigt som de är lättare att fixa, billigare och innan de når produktionen och orsakar skada.

I den här e-boken av CircleCI kan du hitta information om hur moderna utvecklare och DevOps-utövare kan använda CI/CD för att anta en DevSecOps-strategi för sårbarhetshantering.

Källa:

1. nd, '2021 Cyber Security Statistics The Ultimate List Of Stats, Data & Trends', Purplesec [tillgänglig online] tillgänglig från: https://purplesec.us/resources/cyber-security-statistics/ [tillgänglig april 2021]