什么是devops:
德沃斯 是组合 文化哲学, 实践, 和 工具 这增加了组织在高速下提供应用程序和服务的能力: 以更快的速度发展和改善产品 比使用传统软件开发和基础设施管理进程的组织。这种速度使组织能够更好地为客户提供服务,并在市场上更有效地竞争。 (从AWS)

 

在2010年之前,

  • 结构化发展方法
  • 伦特服务器
  • 瀑布模型
 

现在,

  • 从结构化发展方法移动到面向对象的范式
  • 从客户端 - 服务器移动到面向服务的架构
  • 从瀑布模型移动到敏捷方法

持续整合和连续交付(CI / CD)依赖于常规工作的自动化。

敏捷和devops

基本的SDLC没有改变 .
要求 ->Design->发展(实施) - >Testing->Operations

Microsoft Security DLC:

参考: 


显示安全开发生命周期的插图。

 

 

 
如何在Devops内开发安全策略
工具和框架:

 

  • 文化:合作和贡献。每个人都对安全负责。目标等于安全分配安全决策
  • 流程:对现有工作流程的重大更改&流程。团队沟通,协作,报告,测量,安全,开发,运营,结束到结束,实施变化,连续循环。 
  • 技术:威胁建模,攻击表面评价,静态&动态分析,渗透测试,模糊测试

保护Devops的五个原则

  • 自动化安全性:通过全面的API自动调用安全测试。
  • 集成到失败快速:集成安全CI / CD管道以获取应用程序安全性。
  • 没有误报
  • 建立安全冠军:在安全编码中培训开发人员,力量乘数,减少文化冲突,将应用程序安全知识嵌入到团队中
  • 保持操作可见性:应用程序安全性继续,封闭环路反馈,安全事件

SAST(静态应用安全测试)和DAST(动态应用安全测试)



连续安全:

 

连续测试:

  • 测试驱动安全性(TD​​S)
  • 写测试代表所需行为的测试
  • 测试将失败并且预期。 
  • 实现控制以通过TDS测试
  • 安全团队帮助开发人员和IT运营团队实施控制



安全架构和设计评论

  • 产品要求
  • 早期设计
  • 基于威胁模型添加安全性
  • 综述建筑
  • 建议安全控制

安全码审查:

  • 审核码
  • 验证安全控件
  • 验证架构要求

安全测试

  • 产品可以扣留模拟攻击吗?
    • 手动测试
    • 自动化工具

监测和关键绩效指标

记录管道包括:
搜集->Stream->Analyze->Store->Access

事件管理:
NIST 800-61.

 

用于检测& Analysis

  • 混合方法检测方法
  • 专注的商业指标
  • 数据驱动的调查

用于遏制根除& Recovery

  • 可行的警报
  • 聊天沟通
  • 修复的流程书
  • 作为代码(IAC)采用基础设施

对于事故后活动:

  • 保持后验验
  • 如果很少或没有采取任何行动,分析阶段毫无价值
  • 学习的经验教训必须反映在事件管理流程本中

基于业务需求和合规性要求的KPI(关键绩效指标)

  • 可用性
  • 改变失败
  • 改变交货时间
  • 更改卷
  • 客户发行解决时间
  • 客户发行量
  • 叛逃烧率
  • 部署频率
  • 记录可用性
  • 失败之间的平均时间(MTBF)
  • 平均故障(MTTF)
  • 恢复平均时间(MTTR)
  • 误报的数量
  • 误报的数量
  • 功能/验收测试数量
  • 通过/失败的安全测试数量
  • 单位/集成测试数量
  • 安全基准偏差
  • 安全控制
  • 测试覆盖范围
  • 补丁时间
  • 数量的时间
  • 漏洞修补频率
  • 漏洞修补时间

来自Blogger. http://blog.fabiandinkins.com/2018/12/from-devops-to-devsecops-topics.html

经过 Jon.

发表评论