ما هو DevSecOps؟
تتمحور DevSecOps حول تقديم الأمان في المرحلة السابقة من دورة تطوير التطبيقات أو البرامج والتكامل المستمر والتسليم المستمر وخطوط أنابيب النشر المستمر (CI / CD) ، مما يساعد على تقليل نقاط الضعف وتلبية أهداف تكنولوجيا المعلومات والأعمال المتعلقة بالأمان والامتثال . يركز بشكل أساسي على تأمين التطبيقات وأتمتة الأمان في عملية DevOps. أدوات واستراتيجيات أمان DevOps الجيدة مطلوبة لتحديد مدى تحمل المخاطر وإجراء تحليل للمخاطر / الفوائد.
DevSecOps هي ممارسة لتطبيق الأمان في كل خطوة في دورة حياة DevOps باستخدام أدوات DevSecOps. وفقًا للطريقة التقليدية حيث تم إجراء اختبارات الاختراق وتقييمات الثغرات الأمنية بعد الإنشاء ، تعتمد DevSecOps على مفهوم دمج تقييمات الأمان واختبارات الثغرات الأمنية في كل نقطة من خط أنابيب CI / CD. تساعد أدوات DevSecOps في تنفيذ الأمان في سير عمل DevOps.
تقوم مجموعة الأدوات هذه بتضمين أفضل ممارسات الأمان في العمليات دون إبطاء تسليم المنتج. يمكنك تجميع أدوات DevSecOps في عدة فئات:
مسح الكود والتنبيهات والإخطار عن الشذوذ الأمني
الأتمتة (المسح واكتشاف العيوب الأمنية ومعالجتها)
لوحات تحكم الرؤية
استخبارات التهديد
اختباراتأدوات DevSecOps
مسح الكود والتنبيهات والإخطار بالأمور الأمنية الشاذة
تتضمن المجموعة الأولى من الأدوات الماسحات الضوئية للرموز ، والتي تفكك كل سطر من التعليمات البرمجية لضمان عدم وجود ثغرات أمنية أو ثغرات أمنية. إذا وجدوا أيًا منها ، فستتلقى التنبيهات والإشعارات.
جيتلاب
من خلال نظام أساسي واحد لـ SDLC بالكامل ، يتيح GitLab بساطة الفحص الأمني المضمن جنبًا إلى جنب مع الرؤية الشاملة والتحكم غير الممكن باستخدام حلول النقاط. يمكن أن تصبح الثغرات مشاكل للمتابعة بنقرة واحدة. حالة الإصلاح دائما واضحة. يتم تعقب التغييرات التي تم إجراؤها على التعليمات البرمجية وعلى بيئة السحابة الأصلية التي تعتمد عليها. عند استخدام GitLab ، ليس هناك حاجة إلى تكامل إضافي بين التطبيق Sec و Ticking Ticking ، و CI / CD ، وما إلى ذلك.
أليرتا
يوفر Alerta طريقة قابلة للتطوير لمسح الرمز وفحصه. يوفر تنسيقًا مرنًا للتنبيه بحيث يمكنك تخصيصه ليلائم احتياجاتك.
يتكامل Alerta مع مجموعة متنوعة من أنظمة المراقبة والإدارة ، بما في ذلك Amazon CloudWatch و Prometheus. يمكنك الاستعلام عن التنبيهات من سطر الأوامر أو عرضها على وحدة تحكم الويب. تقدم Alerta نشرًا قياسيًا على Amazon Web Services (AWS) و EC2 و Kubernetes و Docker والمزيد.
إنها أداة رائعة تقلل إجهاد التنبيه لأنه يمكنك تخصيص الإشعارات عبر القسم. كما يوفر أيضًا إلغاء تكرار التنبيهات بحيث لا ترى سوى أحدث التنبيهات ، مما يؤدي بالمنظمة إلى بيئة غالبًا ما تتسم بالفوضى.
تحول اليسار
ShiftLeft عبارة عن مجموعة من أدوات المسح مفتوحة المصدر. إنه يفتخر بأنه يحتوي على “أسرع تحليل للكود” ، ويمسح 40 مرة أسرع من الآخرين. كما تدعي أنها تتمتع بدقة أكبر من متوسط الصناعة ، بنسبة 75 في المائة مقارنة بـ 26 في المائة.
يركز تصميم ShiftLeft على المطور ، مما يسرع من متوسط الوقت اللازم للمعالجة (MTTR) بخمسة أضعاف. إنه يبحث عن عيوب منطقية في كل قناة يمكن تخيلها: تشفير ثابت ، وتسريب بيانات ، وتجاوز تفويض ، وأبواب خلفية ، وقنابل منطقية ، والمزيد.
سوف تجد فرق SRE أن ShiftLeft هو حل مسح شامل. يمكنك استخدامه مجانًا لما يصل إلى 200000 سطر من التعليمات البرمجية و 300 عملية مسح ضوئي سنويًا. بالنسبة إلى SREs الذين يهتمون بشدة بالسرعة ووقت الاستجابة ، يعد ShiftLeft خيارًا مثاليًا. إنه ليس شيئًا يؤدي إلى إبطاء الأنظمة ، ولكنه أيضًا لا يجعلك تختار بين الأمان والأداء.
Trivy – فحص نقاط الضعف في الحاوية
عند العمل باستخدام الحوسبة السحابية ، فإنك ملزم باستخدام الحاويات وصور التطبيقات و Kubernetes. Trivy هو مشروع مفتوح المصدر يهدف إلى تبسيط مسح صور التطبيق باستخدام قواعد بيانات موثوقة للتحقق من أي ثغرات أمنية معروفة.
كأداة DevSecOps ، فإن Trivy سريعة ومرنة وستقوم بمراجع ترافقية مع قواعد بيانات الثغرات الأمنية في ثوانٍ (عمليات مسح سريعة). علاوة على ذلك ، يدعم العديد من حزم أنظمة التشغيل ، ويمكنه فحص المستودعات وأنظمة الملفات ، كما أنه سهل التنفيذ في CI مثل ؛
GitLabCI
جينكينز
إجراءات جيثب
الدائرةسنيك
يساعد Snyk فرق SRE في العثور على نقاط الضعف وإصلاحها. إنه يميز نفسه من خلال كونه “الحل الأول للمطور”. تمكن المعالجة الآلية الخاصة به من السرعة والنطاق ، وتزعم قاعدة بيانات الثغرات الأمنية أنها أكبر بنسبة 370 في المائة من قواعد البيانات التجارية.
يتكامل Snyk بسهولة في بيئتك الأصلية ، من الترميز إلى إعداد التقارير. الإصدار مفتوح المصدر مجاني ، ولكن هناك أيضًا خيارات مدفوعة تقدم المزيد من الميزات. في مجال التخفيف من المخاطر مفتوحة المصدر ، هذا هو الأفضل.
جيريت – مراجعة الكود
Gerrit هي أداة أخرى من أدوات DevSecOps تعمل مباشرة في سير عمل الفريق ، مما يسمح بمراجعة كل عملية دمج والتزام أو اختبارها بحثًا عن ثغرات أمنية. يساعد Gerrit الفرق على التواصل بشكل أفضل من خلال تسليط الضوء على المشكلات والسماح بالملاحظات أ
و التعليقات على أقسام معينة من التعليمات البرمجية.
يمكنك أيضًا إنشاء المكون الإضافي الخاص بك أو الاستمتاع بالعديد من المكونات الإضافية التي أنشأها المجتمع لتحسين اختبار كود Gerrit. تتضمن بعض المكونات الإضافية التي يتم تحديثها وإنشاءها باستمرار من قبل المجتمع يوميًا ؛
الإضافات لإدارة الملاحظات في التعليمات البرمجية.
ويب هوك.
بيانات تحليلات جيريت.
التقديم التلقائي للتغييرات بعد الموافقة.SonarSource
يستخدم خمسة ملايين مطور و 300000 مؤسسة أدوات SonarSource في خطوط أنابيب التطوير ، ويساهم أكثر من 18000 في IDE مفتوح المصدر. يقدم البائع الذي يوجد مقره في جنيف امتدادًا مجانيًا لـ IDE ، SonarLint ، لتوجيه وتحليل الترميز. تخصص الشركة هو تغطية قاعدة البيانات المستمرة وأداة التحليل الثابت لسير عمل CI / CD. تتوفر تقنية Sonar كحل ذاتي الإدارة (SonarQube) أو حل قائم على SaaS (SonarCloud) ، ويمكن للعملاء الاختيار بين خطط Developer و Enterprise و Data Center.
ميزات السونار
الوصول إلى أكثر من 5000 من قواعد الترميز والتحليل السيئ لجافا ، وبايثون ، وجي إس ، وسي # ، وأكثر من ذلك
مراجعة الكود الآلي ، بما في ذلك زخارف طلب السحب وتحليل الفرع
60+ تكامل بما في ذلك GitHub و Azure DevOps و Bitbucket و GitLab و Docker
دعم 29 لغة برمجة والبنية التحتية ككود
التجميع على مستوى المؤسسة وإعداد التقارير للرقابة والأمان والامتثالالأتمتة: فحص العيوب الأمنية واكتشافها وعلاجها
الأتمتة هي أحد أكبر جوانب فريق SRE. تدور DevSecOps حول تبني الأتمتة في الأمان بحيث تكون العملية سلسة وليست شاقة.
ستاك ستورم
StackStorm عبارة عن منصة مدفوعة بالأحداث لأتمتة دفتر التشغيل ، وتدعم البنية التحتية كرمز. يستخدم قواعد الشرط إذاً لتبسيط مهام سير العمل. إنه مستند إلى الحدث ، لذلك بمجرد وجود حدث مشغل ، فإنه يتحقق من القواعد ، ويدير التعليمات ، وينفذ الأوامر ، ويقدم النتائج.
ما يميز هذه الأداة هو نهجها في الأتمتة. يمكنك تقسيم المهام الصغيرة إلى أجزاء ثم ترتيبها في مهام أكبر. لديها العديد من حالات الاستخدام لفرق SRE ، بما في ذلك الاستجابات الأمنية والعلاج الآلي.
غراء أواسب
يعمل OWASP Glue كإطار عمل لأتمتة خط أنابيب تحليل الأمان. يأخذ أنواعًا مختلفة من الأدوات ويجمع مخرجات كل منها. توفر هذه القضايا “الموحدة” سياقًا استثنائيًا لمؤسسات التعليم العالي. يعمل OWASP Glue أيضًا بسرعة مذهلة ، لذلك يمكن للمطورين إجراء تغييرات بسرعة لتجنب تأخير التسليم أو التوقف عن المنتج المباشر.
OWASP ZAP
يعد مشروع أمان تطبيق الويب المفتوح (OWASP) أحد أشهر الأسماء في مجال الأمن السيبراني ، وذلك بفضل أبحاثه حول التهديدات ومساهماته في مجتمع المصادر المفتوحة.
الفحص الآلي النشط والسلبي لتطبيقات الويب بحثًا عن نقاط الضعف
فحص المنافذ المفتوحة والنشطة ووضع مخاطر قاعدة البيانات لحقن SQL
تكامل Easy DevOps وواجهة برمجة تطبيقات REST لمعالجة تطبيق الوكيلOWASP Dependency-Check – بناء تحليل التركيب
يأتي OWASP في مرحلة الإنشاء من DevSecOps ، ويتحقق تلقائيًا من عنصر إخراج الإنشاء. سيقوم OWASP بفحص قواعد البيانات بحثًا عن جميع الثغرات الأمنية المعروفة في التبعيات المستخدمة أثناء عملية بناء المشروع.
غالبًا ما يستخدم المطورون التبعيات الثابتة التي أصدرها الآخرون لبناء تطبيقاتهم. في بعض الأحيان قد تحتوي على تعليمات برمجية خاطئة من مصادر خطيرة. غالبًا لا يكون مطورو التبعيات المذكورة على دراية بهذه المشكلات ، مما يفتح تطبيقك للهجمات المحتملة عند استخدامها. تفحص OWASP جميع التقارير حول هذه التبعيات ، وتشير إلى العيوب ونقاط الضعف ، والتوصية بإصلاحات محتملة لها.
لينيس
لإجراء فحص صحي شامل لأنظمة التشغيل Linux أو macOS أو Unix ، يعد Lynis خيارًا ممتازًا. إنه يدعم تصلب النظام واختبار الامتثال. يمكن لـ SREs استخدامه لاكتشاف نقاط الضعف الأمنية يوميًا حتى لا تتحول إلى حوادث أمنية.
لوحات تحكم للرؤية: تخصيص العرض الخاص بك ودمج المصادر
تستفيد DevSecOps / SREs من لوحات المعلومات لفهم أداء الأنظمة بشكل مرئي وتتبع مشكلات الأمان. إن القدرة على تخصيص طرق العرض ودمج المصادر تجعلها ضرورية لكل يوم من أيام SRE.
جرافانا
Grafana هي منصة مراقبة مفتوحة. من مركز مركزي واحد ، يمكنك الاستعلام عن المقاييس وتصورها وتحليلها.
يتيح لك Grafana أيضًا إنشاء لوحات معلومات تتناسب مع متطلباتك ، والتي يمكن مشاركتها جميعًا مع الفرق. تتضمن أدوات التصور الخاصة به الرسوم البيانية والرسوم البيانية والخرائط الجغرافية. يدعم العديد من قواعد البيانات ، مما يسمح لك بالتجميع والحصول على المزيد من الأفكار.
من المحتمل أن تكون هذه الأداة واحدة من أكثر الأدوات أهمية بالنسبة لـ SREs ، وذلك ببساطة بسبب وظيفة الملاحظة الخاصة بها. تواصل SREs التركيز أكثر فأكثر على إمكانية الملاحظة لقياس الحالات الداخلية من خلال النواتج الخارجية.
كيبانا
ينصب تركيز Kibana على لوحات معلومات التصور. يعمل بشكل خاص مع بيانات Elasticsearch. يتيح Kibana تتبع حمل الاستعلام وطلب مهام سير العمل والمزيد. ستتمتع SREs بحرية إعداد تصورات بناءً على متطلباتها.
gg
لدى Kibana أيضًا وظيفة ذكاء إضافية تقترح تصورات تنقل البيانات بشكل أكثر فاعلية.
استخبارات التهديد: الهوية والتنبؤ وتحديد التهديدات
تعتبر المعلومات المتعلقة بالتهديدات جزءًا لا يتجزأ من مجموعة أدوات DevSecOps. تدعم القدرة على تحديد التهديدات والتنبؤ بها وتعريفها مفاهيم الأمان حسب التصميم.
تنين التهديد OWASP
يقوم OWASP Threat Dragon بإنشاء مخططات نموذجية للتهديدات لتسجيل التهديدات المحتملة وتحديد كيفية التخفيف منها. إنه يعمل مع تطبيقات الويب وسطح المكتب ويقدم مخططًا للنظام ومحركًا للقواعد لإنشاء التهديدات تلقائيًا وجهود التخفيف اللاحقة. سوف تجد SREs أنها ذات قيمة لأنها نهج استباقي لإدارة التهديدات منذ البداية.
الاختبار: البحث عن مشكلات الأمان قبل بدء البث المباشر
يعد الاختبار المستمر للتطبيقات ضروريًا لنشر حلول خالية من الأخطاء.
Arachni – اختبار
تهدف أدوات DevSecOps في مرحلة الاختبار من عملية التطوير إلى وضع التطبيق في سير عمل مباشر ، واختبار المصادقة ، ونقاط نهاية API ، وحقن SQL ، وتدفق التطبيق المرتبط بالمستخدم. Arachni هو مشروع قوي مفتوح المصدر يمكنه إجراء عمليات تدقيق نصية لاختبارات الويب (باستخدام Ruby) ، مع سهولة دمجها في CI / CD.
يدعم Arachni أنظمة التشغيل Mac OS X و Microsoft Windows و Linux ، مما يسمح باستخدامه على الخوادم السحابية بسهولة. يعد النشر باستخدام Arachni أمرًا سهلاً نظرًا لمكتبة Ruby الخاصة به ، والتي تتيح تنفيذ عمليات المسح المعقدة النصية. كما أنه قادر على إجراء عمليات مسح سريعة باستخدام واجهة سطر الأوامر. يعد تثبيته أمرًا بسيطًا مثل تنزيل حزمة واستخراجها ، وفي هذه المرحلة تكون جاهزة لإجراء الاختبارات.
BDD- الأمن
BDD-Security هو إطار عمل للاختبار الأمني يستفيد من مفاهيم التنمية المدفوعة بالسلوك (BDD). باستخدام هذه المفاهيم ، يمكن عندئذٍ إنشاء مواصفات أمان ذاتية التحقق. يمكنه اختبار كل من تطبيقات الويب وواجهات برمجة التطبيقات من وجهة نظر خارجية ، ولا يتطلب الوصول إلى كود المصدر الهدف. إنه مورد ممتاز لأتمتة الاختبار.
الشيف InSpec
يساعد Chef InSpec في توحيد معايير تدقيق الأمان من أجل الامتثال المستمر. إنها أداة رائدة لاكتشاف عدم الامتثال مبكرًا ، مما يؤدي إلى العلاج السريع. علاوة على ذلك ، فإنه يوفر امتثالًا أمانًا تلقائيًا للبنية التحتية لتقليل المخاطر. تستفيد SREs من هذه الأداة بسبب تقديمها السلس لعمليات تدقيق الامتثال والأمن.
جاونتلت
Gauntlt هو إطار اختبار لسطر الأوامر يجمع بين العديد من أدوات الأمان. يمكن لـ SREs إنشاء اختبارات ومجموعات يمكنهم قبولها في دورات النشر والاختبار.
تتميز Gauntlt بالمرونة في أن الإنشاء والتنفيذ يمكن أن يأتي من أدوات مختلفة لاختراق التطبيق. يستخدم بنية BDD للاختبارات المقروءة والمنظمة. إنها أداة تعاونية رائعة يمكنها تعزيز أداء SRE.
Falco – التحقق من وقت تشغيل النشر
بعد أن يمر التطبيق بكامل عملية التطوير والتحقق الأمني ، يجب أن يجتاز سلسلة أخيرة من الاختبارات قبل الإنتاج. تهدف هذه الاختبارات إلى التحقق من الاستقرار والضعف والأخطاء التي يمكن أن تحدث فقط في بيئة الإنتاج الحية. بشكل أساسي ، تتضمن بعض نقاط اختبار Falco للتناقضات ما يلي:
مشاكل متعلقة بالتطبيقات السحابية الحية.
الاختلافات في التكوينات بين بيئات الإنتاج والاختبار الحية.
تفاعلات الأجهزة.نظرًا لأن أداة DevSecOps هذه تأتي في الخطوة الأخيرة من التطوير ، فهي تأتي مع تنبيهات فورية لانتهاكات السياسة ومحركات قواعد قابلة للتكوين بدرجة عالية تلبي احتياجات أي فريق أو تطبيق. على هذا النحو ، يفخر المبدعون بأنفسهم لشحن منتج جاهز للتشغيل. يحتوي على تكوينات افتراضية قوية ستمنحك نقطة انطلاق قوية حتى مع القليل من التفاعل.
فوائد DevSecOps
مع DevSecOps ، الهدف هو الحفاظ على سرعة التطوير التي يوفرها نموذج DevOps مع تحسين الأمان. سيقدم فريق من مهندسي DevSecOps كودًا عالي الجودة بشكل أسرع ، ويلتقط العيوب في وقت مبكر ، ويتجنب التكاليف المرتفعة ، ويصلح المشكلات التي يسهل التعامل معها ، وتكون أرخص في التنفيذ.
تسليم برامج سريع وآمن وموثوق
قبل إنشاء DevSecOps وتطبيقه ، تمت كتابة التعليمات البرمجية وتكرارها وتغييرها وفقط بعد أن أصبح الإصدار جاهزًا. تكمن المشكلة في أن هذا النهج يؤدي إلى تأخيرات واسعة النطاق في الإنتاج حيث يمكن أن تستغرق عملية الاختبار من بضعة أيام إلى أكثر من أسبوعين لكل مجموعة من التغييرات في الإصدار. سيؤدي هذا إلى إبطاء أسرع مهندسي DevSecOps إلى الزحف.
هذه العملية لا تستغرق وقتًا طويلاً فحسب ، بل إنها باهظة الثمن أيضًا. احتاج السوق المتسارع لشركات تكنولوجيا المعلومات إلى طريقة لتبسيط هذه العملية وخفض التكلفة الهائلة للأمان في عمليات الإنشاء النهائية.
أدت هذه الحاجة إلى ظهور مفهوم DevSecOps. من خلال تقديم الأمان في كل خطوة من خطوات التطوير وتحميل كل شخص المسؤولية عن أمان التطبيق وامتثاله ، يمكن للشركات إنشاء بيئة آمنة حيث يكون التسليم السريع لشركة DevOps ممكنًا مع الحفاظ على معايير الأمان وأفضل الممارسات.
تحسين الأمن
DevSecOps أيضا
يُشار إلى أن “Shift Left DevOps” ينقل الأمان إلى المستوى التالي من خلال إدخال الأمان في بداية دورة التطوير ، وإضافة عمليات التحقق الآلية ، وإيجاد التبعيات الضعيفة ، والإشارة إلى التعليمات البرمجية الخاطئة. يعمل فريق الأمان الذي كان يمثل عقبة في السابق الآن على تعليم المطورين لتمكين كل مطور من مراجعة التعليمات البرمجية الخاصة بهم قبل دفعها.
بمجرد الانتهاء من هذا الفحص ، لا يزال يتم مراجعة الرمز بواسطة فريق أمان أصغر ، ويتم فحصه بحثًا عن الثغرات الأمنية ، ويتم اختباره باستخدام أحدث تعريفات الأمان كأحد الرموز التي تم تكوينها بواسطة فريق الأمان. هذا يعني أنه تم العثور على المشكلات في وقت مبكر جدًا في التطوير ، قبل إدخال عدة طبقات من التعليمات البرمجية والتبعيات في الكود. نتيجة لذلك ، يكون إصلاح الأخطاء أسرع بشكل فعال ، وهو ما يُترجم أيضًا إلى عملية أرخص بشكل لا يصدق.
يمكن للفرق التي اعتمدت DevSecOps التعافي من الإخفاقات الكارثية بشكل أسرع. هذا مهم بشكل خاص للشركات التي تعمل ببيانات عالية القيمة وعالية الخطورة ، مثل البنوك ومتاجر التجارة الإلكترونية ، حيث لا يؤدي اكتشاف الثغرة الأمنية وتصحيحها إلى توفير الكثير من المال فحسب ، بل أيضًا حماية بيانات العملاء.
استنتاج
أصبحت الهجمات وبرامج الفدية والبرامج الضارة والتهديدات الأخرى أكثر وضوحًا من أي وقت مضى. مع تزايد الهجمات ، لم يكن الأمان في التطبيقات بهذه الأهمية من قبل. ستزداد هذه المشكلة سوءًا بمرور الوقت ، ولهذا السبب يعد اعتماد DevSecOps أمرًا ضروريًا للغاية. من خلال تنفيذ إجراءات وتكوينات الأمان المؤتمتة أثناء عملية التطوير ، يتم إنتاج تطبيقات أكثر أمانًا وأفضل وموثوقية.
مع تطور التكنولوجيا ، يصبح التطوير أسرع ، وتساعد المنهجيات الفرق على تحقيق الأهداف بشكل أسرع ، ولكن يجب أن تقترن السرعة بالأمان للحصول على أفضل النتائج. تقوم DevSecOps بتحويل طريقة عمل الفرق ، وتثقيف كل شخص مشارك في العملية ، وتدريبهم ليكونوا مستعدين للتعامل مع التكرار المستمر ، والتفاعل الفوري مع المشكلات ، وحلها.
شكرا جزيلا،
Enterprise DevOps
المرجع:
