A Netflix, az Etsy és a PayPal integrálta a biztonságot a DevOps folyamatába, hogy felgyorsítsa az innovációt és lehetővé tegye a felhőszoftverek folyamatos telepítését. De mi a DevSecOps és hogyan kezdje el integrálni?
A DevSecOps egy olyan munkahelyi filozófia, amely elősegíti az együttműködést a fejlesztők és a biztonsági csapatok között a biztonság szempontjából prioritást élvező alkalmazások tervezéséhez. Hogy megértsük, miért nélkülözhetetlen a DevSecOps kultúra a modern üzleti életben, vessünk egy pillantást arra, hogy a múltban hogyan kezelték a biztonságot. A felhő előtt a technológiát statikus környezetben hozták létre, lineáris munkafolyamatokkal. Ha a fejlesztői és az informatikai biztonsági csapatok különálló entitásként működnek, akkor a fejlesztők az innovációt szem előtt tartva építik fel a terméket, majd átadják a biztonsági csapatoknak, hogy köré építsenek egy biztonsági kerületet. De ez komoly problémákat okozott idővel.
Ha biztonsági kockázatokat észlelnének, a fejlesztőknek gyakran vissza kellene vonniuk a már telepített kódot, és a problémákat a szoftver gyártásáig kellett visszavezetniük. Mondanunk sem kell, hogy ez a szervezeteknek sok időt és pénzt jelentett. A kerület biztosítása kiváló védelem lehetett az internet által terjesztett fenyegetések és hackerek ellen, de az alkalmazás szintjén nem tett semmit a kárért. Az SQL-befecskendezések, a webhelyek közötti szkriptek, a 7. rétegű DDoS-támadások, a HTTP-áradások, a paraméterek megváltoztatása és a Slowloris-támadások csak néhány példák a biztonság megkerülésére és a kódon belüli hibák kiaknázására. Ha ez kissé túlzásnak hangzik, ne feledje, hogy az olyan óriásokat, mint a Sony, az Equifax és az Amazon, mind megsértették az egyszerű tervezési hibák miatt. A mai felhőkörnyezetben tehát nagyon fontos a DevSecOps.