'%3E%3Cpath fill='%233A5C8D' d='M18.08 2H1.93C.87 2 0 2.85 0 3.9v15.5l.22.02c9.75 0 17.7-7.8 17.86-17.42Z' /%3E%3Cpath fill='%233A5C8D' d='M26.33 2H24.2C24.05 14.97 13.35 25.48.22 25.48L0 25.47v2.61C0 29.14.87 30 1.93 30h24.4c1.06 0 1.94-.86 1.94-1.92V3.91c0-1.05-.88-1.9-1.94-1.9Z' /%3E%3Cpath fill='%23262C49' d='M39.27 31.8c-.74-.2-1.28-.74-1.28-1.48 0-.88.67-1.55 1.56-1.55.23 0 .37.03.64.03 1.7 0 2.92-.63 2.92-3.02V10.52c0-1.04.74-1.81 1.8-1.81 1.01 0 1.76.77 1.76 1.81v15.73c0 3.9-2.34 5.75-5.83 5.75a5.1 5.1 0 0 1-1.57-.2Zm8.01-28.87a2.34 2.34 0 0 1-2.37 2.28 2.32 2.32 0 0 1-2.38-2.28 2.31 2.31 0 0 1 2.38-2.3 2.35 2.35 0 0 1 2.37 2.3Zm9.26 14.31a2.62 2.62 0 0 1-2.66 2.57 2.6 2.6 0 0 1-2.67-2.57 2.6 2.6 0 0 1 2.67-2.56 2.63 2.63 0 0 1 2.66 2.56Zm4.56 6.89V1.81C61.1.77 61.84 0 62.9 0c1.01 0 1.76.77 1.76 1.81v22.32c0 1.05-.75 1.82-1.76 1.82-1.02 0-1.8-.77-1.8-1.82Zm21.93-8.53v8.57a1.7 1.7 0 0 1-1.76 1.78 1.73 1.73 0 0 1-1.76-1.78v-.2a6.88 6.88 0 0 1-5.13 1.98c-3.46 0-5.8-1.92-5.8-4.77 0-2.9 2.37-4.7 6.14-4.7h4.72v-1.09c0-2.25-1.3-3.52-3.57-3.52-1.39 0-2.64.5-3.69 1.54-.44.37-.82.54-1.23.54-.84 0-1.55-.7-1.55-1.48 0-.5.23-.97.7-1.44a8.39 8.39 0 0 1 6.08-2.32c4.31 0 6.85 2.55 6.85 6.89Zm-3.6 3.73v-.3h-4.27c-1.93 0-2.95.7-2.95 2.01 0 1.35 1.15 2.19 2.92 2.19 2.4 0 4.3-1.72 4.3-3.9Zm25.67-1.99c0 4.98-3.46 8.61-8.14 8.61-2.38 0-4.38-.9-5.64-2.42v.6c0 1.08-.74 1.82-1.72 1.82-1.06 0-1.8-.77-1.8-1.82V1.81C87.8.77 88.58 0 89.6 0c1.01 0 1.76.74 1.76 1.81v9.32a7.07 7.07 0 0 1 5.56-2.42c4.72 0 8.18 3.66 8.18 8.63Zm-3.66-.03c0-3.09-2.14-5.38-5.1-5.38-3.01 0-5.02 2.19-5.02 5.41 0 3.2 2.04 5.38 5.03 5.38 2.95 0 5.09-2.28 5.09-5.4Zm6.66 6.09c-.34-.3-.51-.67-.51-1.15 0-.84.71-1.54 1.6-1.54.37 0 .74.13 1.11.47a5.66 5.66 0 0 0 3.9 1.71c1.46 0 2.68-.6 2.68-1.85 0-1.07-.98-1.5-2.34-2.05l-1.7-.7c-2.67-1.11-4.34-2.32-4.34-4.81 0-3.06 2.58-4.77 5.88-4.77 2.13 0 4 .77 5.29 2.01.37.34.54.74.54 1.18a1.5 1.5 0 0 1-1.5 1.51c-.37 0-.67-.16-1.11-.5a5.47 5.47 0 0 0-3.3-1.14c-1.32 0-2.27.5-2.27 1.58 0 .9.68 1.34 2.2 1.95l1.6.63c3.02 1.25 4.55 2.56 4.55 4.98 0 3.32-2.85 5.04-6.17 5.04a8.25 8.25 0 0 1-6.11-2.56Z' /%3E%3C/g%3E%3Cdefs%3E%3CclipPath id='a'%3E%3Cpath fill='%23fff' d='M0 0h120.38v32H0z' /%3E%3C/clipPath%3E%3C/defs%3E%3C/svg%3E)
DevSecOps. Na czym polega rozszerzenie metodyki DevOps?
W ostatnich latach zauważamy wiele zmian w środowisku IT. Jedną z istotniejszych transformacji jest to, co dzieje się w świecie cyberbezpieczeństwa, operacji i zarządzania ryzykiem. Szybkość wdrażania nowych rozwiązań idzie w parze z rosnącymi zagrożeniami cybernetycznymi. I podczas gdy dobrze nam już znany (niemal tradycyjny) DevOps koncentruje się na automatyzacji i usprawnieniu procesów wdrożeniowych, to nie zawsze uwzględnia kwestie bezpieczeństwa na wczesnym etapie cyklu życia oprogramowania (później będziemy skrótowo pisać o tym SDLC – Software Development Lifecycle).
I w tym miejscu pojawia się DevSecOps – co to za rola (lub metodyka, bo sformułowanie może dotyczyć obu)? Na czym polega? Poznaj definicję, różnice i najważniejsze fakty.
Co to DevSecOps i czym różni się od DevOps?
DevSecOps stanowi naturalną ewolucję DevOps. W centrum jego zainteresowań jest bezpieczeństwo: i to bezpieczeństwo rozumiane jako kluczowy element każdej fazy SDLC – od planowania, przez rozwój, testowanie, aż po wdrożenie i utrzymanie. W j‑labs bezpieczeństwo to po prostu standard. Nasze podejście do DevSecOps opiera się na automatyzacji, kulturze współpracy oraz stosowaniu sprawdzonych praktyk i norm, w tym ISO/IEC 27001.
Definicja DevSecOps
DevSecOps to metodyka rozszerzająca DevOps o aspekty bezpieczeństwa na wszystkich etapach SDLC. Głównym założeniem jest „Shift Left Security”, czyli przesunięcie testów bezpieczeństwa na jak najwcześniejsze etapy tworzenia oprogramowania. Dzięki temu zespoły mogą wykrywać i eliminować podatności w kodzie jeszcze zanim ten trafi do środowiska produkcyjnego.
Z drugiej strony możemy też mówić o inżynierze DevSecOps, czyli specjaliście w tej dziedzinie – sformułowanie może odnosić się więc zarówno do metodologii, jak i do roli.
PS Kiedyś na naszym Talk4Devs omawialiśmy temat DevOps/SysOps – sprawdź nadchodzące konferencje, może coś Cię zainteresuje?
Kluczowe zasady DevSecOps – na czym opiera się ta metodologia?
Żeby najlepiej – i najprościej – wyjaśnić specyfikę DevSecOps, skupmy się na tym, co nowego wnosi cząstka „Sec” do znanych nam procesów. Przede wszystkim nowością (albo udoskonaleniem tego, co było wcześniej) są:
- Shift Left Security – integracja bezpieczeństwa od samego początku cyklu życia aplikacji.
- Automatyzacja – i to całościowa, od zera; pełna automatyzacja testów bezpieczeństwa w procesach CI/CD.
- Ciągłe testowanie – przede wszystkim zabezpieczeń: mowa tutaj o dynamicznej analizie kodu, skanowania zależności czy wreszcie analizy pewnych luk, które mogą przerodzić się w przyszłości w źródła problemów z bezpieczeństwem.
- Współpraca międzydziałowa – zespoły Dev, Ops i Sec współpracują między sobą. To dobra praktyka – dzięki niej komunikacja jest przejrzysta i ciągła.
- Security as Code – to sformułowanie odnosi się do spójnego, całościowego traktowania bezpieczeństwa i kodu. W praktyce przekłada się na sprawne definiowanie zabezpieczeń w kodzie oraz ich zautomatyzowaną weryfikację. Testy bezpieczeństwa są w DevSecOps równie ważne, co testy funkcjonalności.
Źródło: https://www.splunk.com/en_us/blog/learn/devsecops-concepts-principles.html
Zobacz też na naszym blogu kategorię wpisów poświęconą DevOps.
Na czym polega DevSecOps? Wyzwania związane z wdrożeniem i działaniem
Umówmy się – choć DevSecOps już za kilka lat stanie się absolutnym priorytetem firm (a nie tylko czymś opcjonalnym), to współcześnie firmy zderzają się z szeregiem wyzwań związanych z samym wdrożeniem tej metodologii do firmy albo przy zatrudnieniu specjalisty DevSecOps. Dlaczego?
Integracja bezpieczeństwa wymaga zmiany mentalności i metod pracy. A co więcej, wymaga wiedzy zarówno z zakresu programowania, jak i bezpieczeństwa – i rzecz jasna kompetencji miękkich (przy tej okazji warto przypomnieć nasz wpis: Interdyscyplinarność w IT. Jak budować swoją karierę).
Zdarzają się też problemy z wdrożeniem i utrzymaniem procesów bezpieczeństwa – w j‑labs staramy się pokazać kierunek, w którym warto się w tym kontekście rozwijać. Zamiast wahać się, czy warto inwestować w DevOps czy DevSecOps, postaw na skalowalne rozwiązania, aby przy okazji uczyć się nowych narzędzi i praktyk. Bo automatyzacja bezpieczeństwa wymaga wdrożenia nowych technologii i procesów – firma musi być na to gotowa.
Uważamy też, że jednymi z ciekawszych praktyk wdrażania DevSecOps w przedsiębiorstwie jest stopniowe przekształcanie tradycyjnych DevOps – na przykład przez wprowadzenie podejścia Security Champions, które polega na wyznaczaniu w zespołach DevOps osób odpowiedzialnych bezpośrednio za bezpieczeństwo. To ważny krok naprzód. Kolejna sprawa? Integracja narzędzi automatycznych (wykorzystanie SAST, DAST, SCA oraz monitoringu zagrożeń w CI/CD) oraz edukacja – chociażby w formie szkoleń zewnętrznych dla zespołów.
Sprawdź, jak możemy Ci pomóc w ramach IT Team Augmentation – rzuć nam wyzwanie, jak możemy pomóc rozwinąć Twój projekt! Link do formularza: https://www.j-labs.pl/kontakt/.
Fixed price kontra Time&Material. Który model wybrać?
Model Time&Material. Jak działa i kiedy warto z niego skorzystać?
Poznaj mageek of j‑labs i daj się zadziwić, jak może wyglądać praca z j‑People!
Skontaktuj się z nami
