C'è una cosa che riguarda l'implementazione della sicurezza nelle fasi iniziali. Owasp menziona l'implementazione tramite Pipeline AppSec. Le persone DevOps parlano di DevSecOps. Guardando i diagrammi e le fasi di implementazione. Sembra che siano entrambi uguali? Eppure in qualche modo distinti l'uno dall'altro.
Quindi che cosa è?
Le condotte CI / CD DevOpsSec fanno generalmente riferimento agli ambienti AWS con funzioni Auto Scaling e Lambda, oltre al provisioning tramite Terraform o CloudFormation. DevOps nel 2017 dovrebbe probabilmente includere funzionalità senza agente, come ServerSpec (e / o Test Kitchen). Il libro DevOpsSec della pubblicazione O'Reilly fa menzione di molti di questi paradigmi. Il libro è in realtà chiamato con precisione DevOpsSec, non DevSecOps.
Le condotte di OWASP AppSec sono diverse. Non sono condotte rigorosamente CI / CD, ma piuttosto un modo per automatizzare l'analisi della vulnerabilità ibrida (e quindi anche della debolezza del software). La piattaforma Cigital ESP è stata un classico esempio di questo, ma molti stanno cercando di piattaforme sicure-appdev come CodeDx, ThreadFix, SD Elements o Signal Sciences per un equivalente 2017. In alcuni casi, una pipeline AppSec potrebbe consistere in una pipeline CI / CD (cioè Jenkins) e collegare la funzionalità di altri progetti open-source come find-sec-bugs e OWASP ZAP.
Una vera pipeline DevOps è una pipeline CI / CD con test e implementazione automatici. Ciò richiederebbe, ad esempio, l'integrazione di ServerSpec, Packer (per avviare AMI) e Jenkins Jobs, ma con la capacità aggiuntiva di eseguire test AB durante l'utilizzo di un ELB per le distribuzioni blue / green. Le pipeline AppSec non sono mai questo compex e direi che AppSec è più difficile da integrare in questi ambienti, soprattutto se i team AppSec non comunicano efficacemente con i team DevOps. Il primo passo nella comunicazione è ottenere la possibilità di eseguire aggiornamenti automatici del sistema operativo (e pacchetti, ad esempio, rpm / yum, dpkg / apt) tramite la funzionalità di ridimensionamento automatico. La sorpresa è che è lo stesso CI / CD e le stesse tecniche di implementazione che possono potenziarle.
Il pezzo finale per vedere la piena integrazione di una pipeline AppSec con una pipeline DevOps sarebbe utilizzare Start-Stop Lambda Cloudwatch per l'analisi della vulnerabilità ibrida automatizzata.