Successfully reported this slideshow.
Your SlideShare is downloading. ×

SecDevOps. Разработка, DevOps и безопасность.

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad

Check these out next

1 of 46 Ad

SecDevOps. Разработка, DevOps и безопасность.

Download to read offline

Разработка, DevOps и безопасность. Расширяем безопасную разработку (SDL) на стадию «после релиза».

Доклад был представлен на Стачке в г. Ульяновск: https://nastachku.ru/secdevops

Разработка, DevOps и безопасность. Расширяем безопасную разработку (SDL) на стадию «после релиза».

Доклад был представлен на Стачке в г. Ульяновск: https://nastachku.ru/secdevops

Advertisement
Advertisement

More Related Content

Slideshows for you (20)

Similar to SecDevOps. Разработка, DevOps и безопасность. (20)

Advertisement

Recently uploaded (18)

Advertisement

SecDevOps. Разработка, DevOps и безопасность.

  1. 1. Стачка 2017 ptsecurity.com Валерий Боронин SecDevOps. Разработка, DevOps и Безопасность.
  2. 2. Регламент 35 мин Вопросы и ответы – в конце Герои справа нам встретятся позже
  3. 3. • В разработке и R&D более 20 лет, помню Windows 3.1 • Достиг определенных высот разработчиком режима ядра под Windows (до 2009) • В безопасности с прошлого тысячелетия ;-) • Работал CTO небольшой компании (30+ человек) • Директором по исследованиям большой (Лаборатория Касперского, 2500+ человек, 2009-2014) • Сейчас отвечаю за направление безопасной разработки (SDL / SSDL) в Позитиве. • Мы с командой создаем новый продукт по автоматизации безопасной разработки. Валерий Боронин, linkedin.com/in/boronin 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 3
  4. 4. Time to Value 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 4 “Все, чем мы занимаемся, – это следим за временем между размещением заказа потребителем и получением денег за выполненную работу. Мы сокращаем этот промежуток времени, устраняя потери, которые не добавляют ценности“ - Тайити Óно, основатель Toyota Production System, 1988
  5. 5. Что такое DevOps? Wiki 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 5 Source: https://en.wikipedia.org/wiki/DevOps
  6. 6. Что такое DevOps? Gartner 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 6 DevSecOps: How to Seamlessly Integrate Security Into DevOps
  7. 7. Что такое DevOps? AWS 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 7 Source: https://aws.amazon.com/ru/devops/what-is-devops/ «DevOps – это сочетание культурных принципов, подходов и средств, которое повышает способность компаний создавать приложения и сервисы на высокой скорости. Благодаря такой скорости компании могут повысить уровень обслуживания клиентов и более эффективно конкурировать на рынке.»
  8. 8. Что такое DevOps? 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 8 DevOps “I guess in a nutshell the way we use DevOps would be the intersection of development, IT operations, and QA. One of the things we do is we have rapid release cycles. There is just this constant movement of things through the whole SDLC from conception to release.” – App manager Source: HP study App Sec and DevOps
  9. 9. Качество – не то, что можно поправить в конце Безопасность – это как качество Особенно AppSec (защищенный код и т.п.) Попутно заметим: можем использовать Безопасность для измерения Качества •Потому что хотя • Не все вопросы качества связаны с безопасностью • Все проблемы безопасности связаны с качеством 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 9 И о качестве замолвите слово
  10. 10. Что такое SDL / безопасная разработка? 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 10 https://www.slideshare.net/ValeryBoronin/sdlssdl-69670799https://www.slideshare.net/ValeryBoronin/2016-61855208
  11. 11. SecDevOps (Securing DevOps) 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 11 Secured DevOps ИБ архитекторы должны интегрировать безопасность в нескольких точках в рабочие процессы DevOps совместным образом, что в значительной степени прозрачно для разработчиков и сохраняет коллективную работу, гибкость и скорость DevOps и гибких сред разработки, предоставляя SecDevOps.
  12. 12. • Выпуск очень частых, но небольших инкрементальных обновлений + Микросервисы = • значительно растет число развертываний релизов  в ответ на это • CI и CD – позволяют доставлять обновления быстро, безопасно и надежно • Методики автоматизации инфраструктуры – инфраструктура как код и управление конфигурациями – помогают поддерживать гибкость вычислительных ресурсов и адаптироваться к частым изменениям • А мониторинг и ведение журналов позволяют инженерам отслеживать эффективность приложений и инфраструктуры, чтобы быстро реагировать на проблемы • Вместе дает более быстрые и более надежные обновления для клиентов. 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 12 Задачи DevOps Задача 2: более важная и сложная, через три слайда. Задача 1: быстрее внедрять инновации путем автоматизации и оптимизации процессов разработки ПО и управления инфраструктурой. Изучай оффлайн
  13. 13. 1. Основное внимание уделяется всей экосистеме 2. все, что используется для получения кода приложений в руки пользователей, находится в сфере действия Сфера действия DevOps 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 13 • Обещания DevOps повысить безопасность приложений основаны на убеждении, что безопасность должна быть частью DevOps, а не отдельной функцией. Т.е. быть встроенной. • HP: 99% согласны, что внедрение культуры DevOps дает возможность повысить безопасность приложений. Кроме того, ожидается, что приложения будут выпущены с уровнем безопасности, который соответствует целям организации, чтобы обеспечить защиту не только ПО и клиентов, но и самой организации. Source: HP study App Sec and DevOps
  14. 14. 1. DevOps - это операционная среда, которая способствует обеспечению согласованности и стандартизации ПО с помощью автоматизации. 2. Основное внимание уделяется использованию автоматизации для значительного улучшения сборки, тестирования и развертывания. 3. Скрипты создают организационную память в автоматизированные процессы, чтобы уменьшить человеческую ошибку и обеспечить согласованность. Автоматизация и DevOps 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 14 Автоматизация - это ключ к решению повторяющихся задач - сокращение ошибок человека и предоставление людям возможности решать более сложные задачи.
  15. 15. • Скорость • Быстрая доставка • Надежность • Масштабирование • Оптимизированная совместная работа • Безопасность* * Только если SecDevOps Companies that practice DevOps have reported significant benefits, including: •significantly shorter time to market •improved customer satisfaction •better product quality •more reliable releases, improved productivity and efficiency, •and the increased ability to build the right product by fast experimentation. Преимущества DevOps 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 15
  16. 16. Задача 2: сделать процесс разработки и поставки ПО согласованным с эксплуатацией при поддержке автоматических средств. Согласованная работа этих групп — главный вызов (и главный приз) от внедрения (adoption) DevOps на уровне Предприятия. Эффективная совместная работа становится приоритетом. И о культуре – Лебедь, Рак, Щука 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 16 Эксплуатация — нацелены на общую стабильность Разработчики — нацелены на изменения, новый код QA — нацелены на снижение риска
  17. 17. Лебедь, Рак, Щука как их видит HP 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 17 “We found that the key factor hindering security adoption within DevOps is organizational barriers. ” – HP study
  18. 18. 1. DevOps обещает взаимодействие Разработки, Операций и QA, но нередко команды по безопасности даже не упоминаются в разговорах 2. Dev & IT Ops заботятся о безопасности, но им кажется, что тут 1) или все под контролем 2) или это чья-то еще тема 3. Security чувствуют себя изолированными от Dev & Ops, где многие даже не знают своих специалистов по ИБ 4. Практически всегда development, operations и security группы имеют совершенно раздельную отчетность (reporting line) 5. Это все приводит к разделению между безопасностью и разработкой, с различными метриками и несогласованными приоритетами 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 18 Идентифицируем барьеры
  19. 19. • Меньше ошибаемся • Скорость и эффективность • Узкие места (через 2 слайда) + • Взаимодействие и общение (тоже) • Техдолг и «fix-it-first» • Метрики и измерения • Безопасность* * Только если SecDevOps Какие проблемы решаем 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 19 Сначала дорога, потом вождение; Cначала инструменты, потом ими строим дом; Сначала планируем и пишем тесты, потом код; Сначала тех долг и все, что замедляет работу или снижает качество, потом добавляем новые возможности – философия DevOps Сначала думаем – потом делаем* *из золотых правил моего подразделения ;-)
  20. 20. Устройте вечером мытье посуды так: 1.Один моет 2.Второй протирает 3.Третий расставляет Ясная коммуникация и четкая цель – рулят Координация и мытье посуды 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 20 DevOps – A new mode of intense collaboration between dev and ops (team) for the same goals.
  21. 21. 1. Developer commits change to Git or merges ‘feature branch’ into master 2. Build server, detects commit and: i) Clones repo, checks out branch ii) Builds app iii) Run Unit Tests and Quality/SAST tools (Static Application Security Tests) iv) Deploy app v) Run Integration tests and Performance/DAST tools (Dynamic Application Security Tests) 3. Pre-live servers (and QA container’s host) i) Deploy app to pre-live environment ii) Run more Integration and security Tests 4. Live servers (and live container’s host) i) Deploy app to an live container ii) Run and schedule smoke tests (with updated tests from original commit) iii) Deploy (in regular intervals) to multiple audiences a) only developers and business owners b) 1% low impact users, then 10%, 25%, 50% and 100% of low impact users c) 1% high profile users, then 10%, 25%, 50% and 100% of high impact users (this workflow applies for all ‘push to prod changes’, ideally the smaller the better) 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 21 DevOps workflow – моем посуду Source: Dinis Cruz Изучай оффлайн
  22. 22. • … • Узкие места • Взаимодействие и общение • … Расшиваем узкие места 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 22 Time To Value Степень автоматизации. Автоматизируй это! В каждой шутке – доля шутки! КВН НГУ, 1989
  23. 23. ptsecurity.com DevOps -> SecDevOps
  24. 24. 1. ИБ тормоз перестройки Соответствие DevOps – главная забота ИТ-лидеров, но информационная безопасность рассматривается как ингибитор гибкости DevOps 2. Не все общаются через API Инфраструктура безопасности отстает в своей способности стать software-defined и программируемой, что затрудняет автоматическую и прозрачную интеграцию элементов управления безопасностью в рабочие процессы в стиле DevOps 3. Не тащите в рот каку Современные приложения в основном «собраны», а не разработаны, и разработчики часто загружают и используют известные уязвимые компоненты и фреймворки с открытым исходным кодом 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 24 Key Challenges – Gartner Gartner: DevSecOps: How to Seamlessly Integrate Security Into DevOps, 30 Sep 2016 Изучай оффлайн
  25. 25. 1. К 2019 году более 70% инициатив DevOps будут включать в себя automated security vulnerability and configuration scanning для oss- компонентов и коммерческих пакетов, по сравнению с менее чем 10% в 2016 году. 2. К 2019 году более 50% инициатив DevOps будут включать тестирование безопасности приложений (AST) для пользовательского кода, по сравнению с менее чем 10% в 2016 году. 3. К 2019 году более 60% инициатив DevOps будут использовать более продвинутое управление версиями и средствами автоматизации инфраструктуры, по сравнению с менее чем 5% в 2016 году. 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 25 Gartner – К чему готовиться в 2019? Gartner: DevSecOps: How to Seamlessly Integrate Security Into DevOps, 30 Sep 2016
  26. 26. 1) All teams will henceforth expose their data and functionality through service interfaces. 2) Teams must communicate with each other through these interfaces. 3) There will be no other form of interprocess communication allowed: no direct linking, no direct reads of another team’s data store, no shared-memory model, no back-doors whatsoever. The only communication allowed is via service interface calls over the network. 4) It doesn’t matter what technology they use. HTTP, Corba, Pubsub, custom protocols — doesn’t matter. 5) All service interfaces, without exception, must be designed from the ground up to be externalizable. That is to say, the team must plan and design to be able to expose the interface to developers in the outside world. No exceptions. Anyone who doesn’t do this will be fired. Thank you; have a nice day! Source Bezos’s (Amazon) 2002 decree 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 26 Изучай оффлайн
  27. 27. Контроли безопасности должны быть программируемыми и автоматизированными •Требуйте 100% функциональности через API •Поддержка инструментальных средств DevOps, Chef, Puppet и аналогичные средства автоматизации •Поддержка контейнеров и систем управления ими (которые не являются необходимыми для SecDevOps, но помогают упростить доставку услуг из разработки в производство) 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 27 1 API
  28. 28. Контроль доступа и RBAC обеспечивают Разделение обязанностей •AD & LDAP – человек в ед. числе, учетка должна быть тоже везде одна •Все инструменты должны быть интегрированы с AD & LDAP. Политики безопасности применяются в инструментах. Весь доступ к инструментам и их действия контролируются •Определите и назначьте различные требуемые роли для разработки и производства. В идеале, ни один человек напрямую не касается живого окружения, кроме как через скрипты и API •Обяжите команду разработки отвечать и контролировать изменения своего продукта на основе «доверяй, но проверяй». Проверка с помощью журналов аудита и репозиториев, таких как Git – назначайте ответственных периодически отсматривать активность, меняйте их 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 28 2 IAM + RBAC для SoD
  29. 29. • Обучайте разработчиков навыкам безопасного кодирования и написанию resilent кода, который проверяет и обеззараживает ввод, и блокирует общие типовые атаки, такие как переполнение буфера, SQL-инъекция и XSS • Требования безопасности должны быть. И должны быть неотъемлемой частью планирования как самого приложения, так и процесса разработки • Разработайте простой инструмент оценки рисков и моделирования угроз, внедряйте его как часть процесса планирования и проектирования • Отталкивайтесь в моделировании угроз от рисков приложения • Приложения, обрабатывающие конфиденциальные данные или непосредственно обращающиеся в Интернет, должны требовать более глубокого моделирования угроз совместно с ИБшниками • Данные, используемые в разработке для тестирования – маскируйте, деперсонализируйте или синтезируйте. Не используйте конфиденциальные производственные данные! 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 29 3 Оценка рисков и моделирование угроз
  30. 30. • Планируйте автоматизацию всех статических и динамических инструментов. Не заставляйте разработчиков покидать их любимое окружение и инструменты • Статанализаторы и динамические анализаторы с инкрементальным анализом предпочтительнее • Примите нереальность отсутствия уязвимостей. Лучше использовать анализаторы от которых меньше поток ложных срабатываний и т.п., разработчиков фокусируйте на исправлении сначала с наивысшей степенью серьезности и наивысшей степенью уязвимости • Сделайте правило не пропускать код с известными критическими уязвимостями в продакшн. Уязвимости, которые представляют более низкие уровни риска, могут быть или не быть устранены в будущих итерациях. Нужны подходы, которые позволяют выявлять и принимать управляемый риск • Работа с менеджерами DevOps для измерения и мотивации команд разработчиков для создания кода с меньшим количеством уязвимостей. Сделать метрики безопасности частью показателей качества кода и привлечь разработчиков к ответственности 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 30 4 Анализируй свой код, Apps, API, все
  31. 31. • Приоритет выявлению OSS компонент и сканированию на уязвимости в разработке • Сканируйте все приложения, образы, виртуальные машины и контейнеры, используемые в разработке на предмет неизвестных, встроенных или уязвимых компонентов OSS в ОС, платформе и в самом приложении • "OSS firewall", чтобы заранее, проактивно предотвращать загрузку разработчиками известного уязвимого кода из Maven, GitHub и других репозиториев кода OSS, по правилам 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 31 5 Важно! OSS и конфигурации в Dev
  32. 32. • В процессы DevOps вносите автоматическое сканирование содержимого всех образов системы, включая базовую ОС, платформу приложений и все контейнеры на известные уязвимости и проблемы конфигурации в рамках CI • Определите политику не позволять выпускать из разработки что- либо с известными критическими уязвимостями • Требуйте от разработчиков удаления ненужных модулей и доведения всех систем до лучших отраслевых стандартов • Интегрируйтесь с антивирусными сканерами и антималварью, чтобы не заносить чего-нибудь в процессе разработки 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 32 6 Выявляем уязвимое и ненужное
  33. 33. • Убедитесь, что команды DevOps внедрили правильные методы контроля версий и инструменты, поддерживают четкую подотчетность (accountability) и отслеживаемость (traceability) для всего, что развернуто в живой среде • Расширяйте возможности средств контроля версий и автоматизированных средств развертывания до конфигурирования конфигураций, конфигурирования инфраструктуры и мониторинга • Используйте сценарии автоматизации для развертывания в промежуточной среде для финальных тестов (может быть автоматизированным тестом в продвинутых DevOps) • Сканируйте на предмет ошибок и забывчивости – речь про встроенные учетные данные, забытые ключи шифрования, ключи API и т. д., представляющее значительный и предотвращаемый риск 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 33 7 Что еще очень ценного в хозяйстве
  34. 34. • Включайте везде контроль целостности при загрузке, в т.ч. с аппаратной поддержкой, в т.ч. гипервизора и ОС • Храните виртуальные машины в покое, в зашифрованном виде, со съемом контрольной суммы, если виртуальные машины используются в рабочем процессе DevSecOps. Убедитесь в отсутствии подделки при загрузке • Используйте систему управления контейнерами (если используются контейнеры), которая поддерживает хэширование или другие методы для измерения и проверки целостности системы при загрузке 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 34 8 Целостность и контроль загрузки
  35. 35. • Отключайте антивирусную проверку на основе сигнатур времени выполнения и внедряйте модель белого списка на серверах, т.к. антивирусное сканирование практически не влияет на хорошо управляемые серверы и является пустой тратой ресурсов в среде SecDevOps • Автоматическая настройка белых списков из декларативных источников цепочки инструментов и контейнеров DevOps • если используются контейнеры, используйте те, что с поддержкой белых списков 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 35 9 Белые списки в продакшне
  36. 36. • Chaos Monkey • Chaos Gorilla • Chaos Kon • Latency Monkey NETFLIX SIMIAN ARMY 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 36 https://github.com/Netflix/SimianArmy Outage 2014: Out of our 2700+ production Cassandra nodes, 218 were rebooted. 22 Cassandra nodes did not reboot successfully. • Conformity Monkey • Security Monkey • Doctor Monkey • Janitor Monkey
  37. 37. • Повсеместный мониторинг критически важных приложений – отслеживайте вход / выход пользователей, транзакции, взаимодействия, сетевую и системную активность и т.п. • Используйте данные мониторинга для определения базовых линий нормального поведения для приложения с целью выявления значимых отклонений. Делитесь данными мониторинга в DevOps или продуктовых группах, командах платформ и командах центров безопасности (SOC), поскольку необычная активность может быть вызвана сбоем оборудования, сбоем программного обеспечения, ошибкой, угрозой изнутри или атакой • Используйте автоматическое развертывание обманных служб для приманки и более легкой идентификации злоумышленников 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 37 10 Предполагай худшее. Оживай резво.
  38. 38. ИБ Архитекторы должны сотрудничать с командами DevOps для: •Ограничить изменения только автоматическими средствами и сценариями. Отключить удаленное администрирование с помощью SSH и RDP – для принудительного доступа через API и скрипты •Принять зафиксированную инфраструктуру (где это возможно) и автоматизировать все изменения в среде с использованием рабочих процессов в стиле SecDevOps. Устаревшее добро должно постепенно заменяться более новым. Автоматизированным и системным образом •Использовать системы управления привилегированным доступом в редких случаях, когда необходим прямой административный доступ 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 38 11 Lock Down инфраструктуры
  39. 39. • Контейнеры имеют общую ОС, поэтому ОС обеспечивает изоляцию, а не Гипервизор • Без использования дополнительных инструментов сетевой трафик виден всем размещенным контейнерам, совместно использующим одну и ту же ОС • Успешная атака на уровне ядра ОС компрометирует все контейнеры • Именно поэтому рекомендуют использовать контейнеры с учетом уровней доверия – не смешивайте разработку, тестирование и продакшн • Используйте гипервизоры или физическое разделение, когда требуется более сильная изоляция 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 39 12 Контейнеры и Безопасность
  40. 40. ptsecurity.com Хозяйке на заметку
  41. 41. От лучших собаководов ▸ Тестирование, управление зависимостями и визуализация вебсервисов – особое внимание ▸ берем одну известную уязвимость и рефакторим весь код в отдельный модуль (микросервис) ▸ включалкивыключалки фич, чтобы можно было использовать на живых системах ▸ полностью независимый стек для разработки, тестирования и продакшна ▸ контейнеры для разработки, тестирования и продакшна ▸ добавить активностей связанных с безопасностью (SDL) ▸ Моделирование угроз ▸ ревью на безопасность и соблюдение стандартов защищенного кодирования ▸ Автоматические тесты на безопасность в QA (от юнит до интеграционных) 100% покрытие ▸ Автоматическое отображение (mapping) поверхности атаки и документирование ▸ помощь независимых экспертов по ИБ снаружи ▸ Мониторинг и визуализация происходящего в продакшне ▸ Готовиться к инцидентам и отражению атак надо заранее 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 41 Source: Dinis Cruz
  42. 42. SecDevOps рекомендуют ▸ Автоматизируйте CI и CD ▸ Быстро разворачивайте и восстанавливайте ▸ Отслеживайте и визуализируйте все ▸ Используйте контейнеры в продакшне ▸ Ежедневные множественные деплои ▸ Kanban workflow ▸ Low WIP (work-in-progress) count и андоны ▸ Улучшайте покрытие тестирования и качество тестовых API ▸ Реалтаймовые юнит тесты и покрытие в IDE ▸ SecDevOps Pipeline ▸ определяйте изменения sensitive кода (trigger secure code review) ▸ автоматическое развертывание of air-gapped QA sites (with surrogate dependencies for external components) ▸ автоматический запуск статического анализа и динамического анализа 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 42 Source: Dinis Cruz
  43. 43. 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 43 Отличная цитата под финал «Принятие процесса DevOps может помочь сделать приложения более безопасными, поскольку среда разработки и производства построена таким же образом и с теми же стандартами безопасности и тестирования. Однако для этого требуется обязательство по всей организации установить приоритет безопасности и включать в себя более автоматизированные решения для тестирования, которые упрощают сбор информации в режиме реального времени и устранение уязвимостей на протяжении всего процесса разработки» John Meakin—Burberry, Group Information Security Officer
  44. 44. Партизанским методом - не взлетит 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 44 Обязательное условие успеха SecDevOps, как и SDL – не бесплатен – нужны время, бюджет, твердое обязательство руководства гарантировать приоритет безопасности. Нужна поддержка первых лиц
  45. 45. АРХИВАЖНО: Без SDL – не взлетит! 15 апреля 2017, Стачка, Ульяновск SecDevOps, Боронин Валерий 45 Secured DevOps …if they weren’t very good at securing the SDLC before, the move to DevOps alone is not going to solve the problem. https://www.slideshare.net/ValeryBoronin/2016-61855208
  46. 46. ptsecurity.com

Editor's Notes

  • Ключевая идея – постоянно избавляться от потерь – улучшая эффективность, качество и экономию затрат.
  • кстати говоря, безопасность является ключевой характеристикой в плане качества всего продукта, по ситуации с ней можно весьма уверенно сказать о качестве всей системы в сборе.
  • А вот так выглядит мытье посуды в мире DevOps, куда добавили немного безопасности
  • Речь не только про стадии с конвейера, но и про ожидание спецификаций, ревью, оценок, развертывание конфигураций для тестирования по заявкам и т.п. Даже для самого себя – в разных ролях или выполняющего разные операции.
  • Давайте теперь посмотрим, что нужно сделать еще, чтобы безопасности стало больше:
  • Bezos’s 2002 decree had a profound impact on how software and teams were organized. It went something like this:
    http://apievangelist.com/2012/01/12/the-secret-to-amazons-success-internal-apis/
  • И осталось одно небольшое, но зато обязательное условие – поддержка с самого верха. Партизанские активности не работают с такого масштаба изменениями, как переход на DevOps. Или внедрение безопасности в DevOps – безопасность должна стать делом каждого, а это без поддержки с самого верха практически нереально.
  • Невозможно добавить безопасность в DevOps так, что бы все стало защищенным - без вовлечения на самом раннем этапе в разработке, а этим у нас заведует SDL. Не поправив основы в консерватории, на успех дальше лучше не закладываться. Поработать надо от и до, по всей цепочке из этапов и фаз, без исключений. Фактически, классический SDL должен накрыть собой еще и Эксплуатацию, чтобы соответствовать времени. Работайте безопасно. Работайте грамотно. Работайте с удовольствием! Спасибо.

×