Дальнейшие шаги для DevSecOps
Создание безопасных API критически важно из-за их роли в архитектуре современных приложений. Безопасностью нельзя пренебрегать, она должна быть частью всего жизненного цикла разработки. Уже недостаточно проводить сканирование и тестирование на проникновение раз в год.
DevSecOps должны присоединиться к работе по разработке и обеспечить непрерывное тестирование безопасности на всем жизненном цикле разработки ПО. Их цель - усовершенствовать процесс разработки, автоматизировав проверки безопасности, не влияя на скорость разработки.
Если вы сомневаетесь, ознакомьтесь с DevSecOps Manifesto и следите за его обновлениями.
| Понимание модели угроз | Приоритеты при тестировании исходят из модели угроз. Если у вас ее нет, рассмотрите использование OWASP Application Security Verification Standard (ASVS) и OWASP Testing Guide для начала ее составления. Включение команды разработки может помочь им быть более осведомленными в сфере безопасности. |
| Понимание жизненного цикла разработки ПО | Объединитесь с командой разработки для лучшего понимания жизненного цикла разработки ПО. Ваше содействие в части непрерывного тестирования безопасности должно гармонировать с людьми, процессами и инструментами. Все должны быть согласны с процессом для предотвращения ненужных разногласий и сопротивления. |
| Стратегии тестирования | Поскольку ваша работа не должна влиять на скорость разработки, вам необходимо продуманно выбрать наилучшие (простые, быстрые и наиболее точные) подходы к проверке требований по безопасности. OWASP Security Knowledge Framework и OWASP Application Security Verification Standard - отличные источники функциональных и нефункциональных требований по безопасности. Существуют также другие отличные проекты и инструменты, аналогичные предлагаемым сообществом DevSecOps. |
| Достижение покрытия и точности | Вы соединяете команды разработки и эксплуатации. Чтобы достичь покрытия нужно сфокусироваться не только на функциональности, но и на оркестрации. Работайте совместно с командами разработки и эксплуатации с самого начала, чтобы оптимизировать свои трудозатраты. Вы должны стремиться к состоянию, когда основы безопасности непрерывно проверяются. |
| Четко описывайте найденные уязвимости | Приносите пользу, избегая конфликтов. Передавайте команде разработки информацию о найденных уязвимостях своевременно, с помощью инструментов, используемых командой разработки. Помогите команде разработки разобрать найденные уязвимости. Постарайтесь обучить их, четко объяснив выявленные недостатки и процесс их эксплуатации, включая реальный сценарий атаки. |