DevSecOps管道

DevSecOps管道| JFrog

的普及DevSecOps是有原因的。采用DevSecOps可以帮助您的团队降低风险，简化遵从性，并将安全性集成到持续集成/持续交付(CI/CD)管道中。然而，知道从哪里开始并不总是那么容易。理解DevSecOps管道在实践中是什么样子的，或者哪些工具最适合您的团队可能是困难的。

在本文中，我们将探讨DevSecOps管道的主题，以帮助您快速启动CI/CD安全性和遵从性工作。

什么是DevSecOps管道?

正如DevSecOps文化将安全性集成到传统的DevOps思想中一样，DevSecOps管道在整个传统的DevOps CI/CD管道中分层安全。与安全通常发生在开发周期后期的事情不同，它是DevSecOps管道中的一个持续过程。

在他的swampUP Keynote中网络安全的神圣与罪恶本质， John Willis提出了几个重要的DevSecOps最佳实践，在构建管道时要牢记:

• 像对待软件问题一样对待安全问题。
• 采用“安全性即代码”方法来实现安全性的自动化。
• 在CI/CD管道中构建安全控制和漏洞检测。
• 将安全测试自动化作为构建过程的一部分。
• 主动监控生产部署的安全性。

开源软件和DevSecOps管道

在某种程度上，DevSecOps流行的激增是DevOps的一个合乎逻辑的发展。将操作作为共同责任有助于提高应用程序的可靠性，将安全作为共同责任可以改善整体安全状况。然而，DevSecOps越来越重要还有一些更微妙的原因，开源软件(OSS)的流行是最重要的原因。

今天，开源组件占现代应用程序的80-90%。这是因为使用OSS软件有很大的好处。例如，OSS组件通常比商业替代品更安全、健壮和可靠。此外，使用现有的OSS库或应用程序比从头开始编写相同的功能要有效得多。

然而，尽管OSS有很多好处，但也存在安全和遵从性挑战。只要有一个未修补的组件容易受到已发布的常见漏洞和暴露(CVE)漏洞的攻击，就会使您的应用程序成为黑客的主要目标。类似地，单个许可问题可能会产生合规性挑战，需要花费时间和金钱才能解决。

SCA工具如何在DevSecOps管道中实现安全性和遵从性

在这一点上，我们可以看到一个明显的问题:您如何确定您所使用的OSS组件是否具有已知的安全漏洞，或者使用的许可是否会产生遵从性问题?

手动确保第三方OSS补丁是最新的，没有许可问题是缓慢的，低效的，容易出错的。当您必须使用各种各样的OSS包和依赖关系管理多个管道时，这一点尤其正确。因为手动检查是不可伸缩的、可靠的或有效的，所以开发团队使用软件组合分析(SCA)工具扫描代码、容器、注册表和软件工件安全漏洞以及许可证遵从性问题。在许多情况下，高级SCA工具支持持续检测安全性或遵从性问题、自定义警报、策略创建、问题补救建议，以及在检测到问题时触发自动操作。

如何确保DevSecOps管道的遵从性?

如您所见，SCA工具是帮助降低使用各种第三方OSS包的风险的有用方法。但是，如何找到合适的SCA工具来启用呢SDLC中的安全性和合规性？没有放之四海而皆准的答案，但您应该寻找与现有基础设施本机集成、跨云和本地工作、提供深入分析和报告并支持管道中使用的所有包类型的工具。

JFrog Xray——一个DevSecOps管道解决方案——就是一个SCA工具的例子，它可以检查所有这些问题。例如，JFrog x射线:

• 是JFrog DevOps平台提供通用的、混合的、端到端DevOps自动化。
• 支持扫描所有主要的包类型，并可以智能地解包(例如，如果Xray发现一个Java应用程序，它将分析所有使用的.jar文件)。
• 创建基础设施的组件图，使您能够可视化组织中软件组件之间的关系。
• 允许您为安全性和遵从性创建细粒度策略和报告。
• 为与您的工件相关的所有安全性和遵从性信息提供一个单一窗格的可视性。
• 利用漏洞和合规性情报VulnDB以及关于漏洞的元数据的其他来源。
• 支持多种集成选项(例如，流行ide和CI工具的插件，RESTful API和健壮的命令行界面)。
• 即使在部署到生产环境后，也提供持续的监控。
• 是唯一本地集成JFrog Artifactory的安全扫描解决方案。

最后的想法:开始使用DevSecOps

现在您已经了解了DevSecOps管道的基础知识，可以开始更有效地保护CI/CD管道了。通过“左移安全性”和在整个开发周期中集成安全性，您将提高所交付产品的质量和安全性，同时降低影响项目的遵从性或许可问题的风险。hth华体会最新官方网站