- 17 Nis 2015
- 1,650
- 1,584
- 25
Yeni DevSecOps ve GitLab Standartları
Hangi terimin daha doğru olduğu konusunda oldukça fazla tartışma var: DevSecOps, SecDevOps veya genel olarak bu terimin "sec" kısmı gereksizdir.
At GitLab, ait olduğu DevOps geliştirme ve döngüsünün, en önemli parçası olarak DevSecOps ilkeler pozisyon güvenliğini: Biz oldukça net bakış açısını geliştirdik. Güvenlik konularının mümkün olduğunca şeffaf ve sürecin standartlaştırılmış bir parçası olarak kalması gerektiğine, gizlenmemeleri veya derin bir yere gömülmemeleri gerektiğine inanıyoruz. Süreçlerin ve politikaların otomasyonu hem geliştiricileri hem de bilgi güvenliği uzmanlarını görevlerini yerine getirmek için ihtiyaç duydukları bilgilerle donatmanıza olanak tanır.
GitLab'da, modern uygulamaları ve onlar için gerekli altyapıyı planlamaya, uygulamaya, dağıtmaya, korumaya ve sürdürmeye yardımcı olan entegre ve güvenli bir yazılım çözümü biçiminde DevSecOps platformunu aktif olarak oluşturmaya devam ediyoruz (GitLab'ın önemli bir yatırım yaptığını herkes bilmiyor). Günümüzde bilgi güvenliği bileşenlerinin geliştirilmesinde yer almaktadır. Mühendislik çalışması). GitLab, geliştirme döngüsü boyunca şeffaflık ve yazılım fabrikasının bütünlüğünü ve ürettiği yapıtları korumak için gereken bir dizi kontrolü zaten sağlıyor.
GitLab, DevSecOps'un günümüzdeki daha geleneksel uygulama güvenliği test araçlarına göre evrimindeki değişim için halihazırda bir katalizördür. Bakalım bu evrim aslında nelerden oluşuyor.
Güvenlik Testi
Geleneksel araçlar
Test, kural olarak, geliştirme döngüsünün sonunda bilgi güvenliği uzmanları tarafından kendi araçlarını kullanarak gerçekleştirilir.
GitLab'ın yeni özellikleri
Test, Sürekli Entegrasyon ardışık düzenleri aracılığıyla otomatikleştirilir ve sonuçlar, mevcut yinelemenin bitiminden önce geliştiriciye sunulur.
Test sonuçları, yalnızca mevcut yineleme bağlamında ortaya çıkan güvenlik açıklarına odaklanarak, ortaya çıkan eksikliklerin analizini ve çözümünü, onları oluşturan geliştirici için son derece kolay hale getirir. Teknik borcun yanı sıra birikmiş risk ve güvenlik açıklarını sürdürme çabalarını en aza indirir, ek uzmanları içerir
Test, kural olarak, geliştirme döngüsünün sonunda bilgi güvenliği uzmanları tarafından kendi araçlarını kullanarak gerçekleştirilir.
GitLab'ın yeni özellikleri
Test, Sürekli Entegrasyon ardışık düzenleri aracılığıyla otomatikleştirilir ve sonuçlar, mevcut yinelemenin bitiminden önce geliştiriciye sunulur.
Test sonuçları, yalnızca mevcut yineleme bağlamında ortaya çıkan güvenlik açıklarına odaklanarak, ortaya çıkan eksikliklerin analizini ve çözümünü, onları oluşturan geliştirici için son derece kolay hale getirir. Teknik borcun yanı sıra birikmiş risk ve güvenlik açıklarını sürdürme çabalarını en aza indirir, ek uzmanları içerir
Sürekli Entegrasyon ve Güvenlik
Geleneksel araçlar
CI işlem hatları tarafından yürütülen komutlar, harici güvenlik tarayıcılarını çağırmak ve sonuçları işlem hattına geri iletmek için kullanılır. Ancak, bu araçların her ikisi de bağlantısız kalır ve kendi başlarına çalışır. Bu genellikle sürekli destek gerektiren ek özel entegrasyon gerektirir. CI araçları ve tarayıcılar için lisanslar da birbirinden ayrıdır ve bu, özellikle farklı fiyatlandırma politikaları (kullanıcı sayısı, uygulamalar, kod satırları vb.) kullanıyorlarsa, bunları yönetme sürecini karmaşıklaştırır.
GitLab'ın yeni özellikleri
Özellikler tek bir araçta birleştirilir, pahalı entegrasyon ve bakım gerektirmez; sadece bir lisans gerektirir.
CI işlem hatları tarafından yürütülen komutlar, harici güvenlik tarayıcılarını çağırmak ve sonuçları işlem hattına geri iletmek için kullanılır. Ancak, bu araçların her ikisi de bağlantısız kalır ve kendi başlarına çalışır. Bu genellikle sürekli destek gerektiren ek özel entegrasyon gerektirir. CI araçları ve tarayıcılar için lisanslar da birbirinden ayrıdır ve bu, özellikle farklı fiyatlandırma politikaları (kullanıcı sayısı, uygulamalar, kod satırları vb.) kullanıyorlarsa, bunları yönetme sürecini karmaşıklaştırır.
GitLab'ın yeni özellikleri
Özellikler tek bir araçta birleştirilir, pahalı entegrasyon ve bakım gerektirmez; sadece bir lisans gerektirir.
Güvenlik açıklarını ortadan kaldırmak
Geleneksel araçlar
Bilgi güvenliği uzmanları, güvenlik açığı iyileştirme, sorun çözme ve risk azaltma durumunu sürekli olarak izlemek zorundadır. Güvenlik uzmanları, kritik güvenlik açıklarının (risklerin) ortadan kaldırılması durumunu sürekli olarak izlemelidir. Tarama sonuçları genellikle bir araçta toplanır ve geliştiricilerin durumu düzeltme çabaları başka bir araçta toplanır, bu da iki ekip arasında sürekli sürtüşme ve etkisiz iletişime yol açar.
Yeni GitLab Özellikleri
Güvenlik uzmanları, tek bir araç kullanarak, tanıdık bir bağlamda ortak bir gösterge panosunda belirli güvenlik açıklarının yama durumunu görebilir. Ekipler GitLab'ın görev zamanlama araçlarını kullandığında, her iki ekip de hataları düzeltmek için birlikte çalışmak üzere işbirliği yapabilir.
Sorunun teknik tarafında GitLab, çok sayıda tarayıcıyı tek bir araçta toplayan ilk satıcılardan biriydi:
SAST
DAST
Bağımlılık Taraması
Kapsayıcıları tarama
Secrets Detection
Fuzz testing
Lisansları tarama ve analiz etme
Kullanılan tüm kitaplıkların görüntülenmesi, algılanan tüm sorunların ve güvenlik açıklarının esnek şekilde raporlanması da GitLab'ın standart bir parçasıdır. Birçok özel aleti tek bir çözümle değiştirmek, bugün bizim için belki de en önemli hedef olmaya devam ediyor.
Tüm bu çabalar ve elde edilen sonuçlar sayesinde GitLab, eksiksizliği ve uygulama kabiliyeti nedeniyle 2021 yılında Gartner Magic Quadrant for Application Security Testing'e dahil edildi. Bunun yalnızca DevSecOps'un geleceğinin geliştiricileri bilgi güvenliği süreçlerine dahil etmek ve onları yeterli araçlarla donatmak olduğuna olan inancımızı doğruladığına inanıyoruz.
Ayrıca, başarılarımıza güvenmediğimizi ve riskleri azaltmak ve yazılım ürünlerinin güvenlik düzeyini artırmakla bağlantılı ürün bileşenlerini geliştirmeye aktif olarak yatırım yapmaya devam ettiğimizi de belirtmek gerekir. İşte son 6 ayda (Gartner çeyreğine dahil olduğumuzdan beri) GitLab'a eklenen iyileştirmelerden sadece birkaçı:
Uyumluluk Çerçeveleri kullanan Uyumluluk ardışık düzenleri ,
Konteyner ağı politikaları için uyarı paneli ,
Güvenlik açıklarının durumunu büyük ölçüde değiştirme yeteneği ve risk yönetimi çalışmaları ile ilgili diğer iyileştirmeler,
Yönetim işlevlerini gerçekleştirmek için ek kimlik doğrulama gerektiren yönetici modu ,
Özel güvenlik açığı analizi kuralları için Semgrep,
anahtarların sona ermesiyle ilgili e-posta bildirimleri ,
SAML'yi Git ile çalışmaya zorlayın. ...
İsteğe bağlı programlanmış DAST taraması ve
DAST için önemli ölçüde daha geniş erişime sahip yeni tarayıcı tabanlı tarayıcı
Son zamanlardaki pek çok saldırının ardından (SolarWinds ve ardından ABD'deki bir gaz boru hattına yapılan saldırı gibi), uzmanların dikkati giderek artan bir şekilde uygulamaların güvenliğinin sağlanması konusuna çekilmektedir.
Ve GitLab, bu sorunları çözmek için birçok benzersiz yeteneğe sahiptir. Gerçek DevSecOps metodolojisi, geleneksel olarak bildiğimiz araçlardan çok daha fazla güce sahip yeni bir yazılım güvenliği çağını temsil ediyor. GitLab'ın pazarı bu evrime getirdiğine ve bu yönde ilerlemeye devam edeceğine inanıyoruz.
Bilgi güvenliği uzmanları, güvenlik açığı iyileştirme, sorun çözme ve risk azaltma durumunu sürekli olarak izlemek zorundadır. Güvenlik uzmanları, kritik güvenlik açıklarının (risklerin) ortadan kaldırılması durumunu sürekli olarak izlemelidir. Tarama sonuçları genellikle bir araçta toplanır ve geliştiricilerin durumu düzeltme çabaları başka bir araçta toplanır, bu da iki ekip arasında sürekli sürtüşme ve etkisiz iletişime yol açar.
Yeni GitLab Özellikleri
Güvenlik uzmanları, tek bir araç kullanarak, tanıdık bir bağlamda ortak bir gösterge panosunda belirli güvenlik açıklarının yama durumunu görebilir. Ekipler GitLab'ın görev zamanlama araçlarını kullandığında, her iki ekip de hataları düzeltmek için birlikte çalışmak üzere işbirliği yapabilir.
Sorunun teknik tarafında GitLab, çok sayıda tarayıcıyı tek bir araçta toplayan ilk satıcılardan biriydi:
SAST
DAST
Bağımlılık Taraması
Kapsayıcıları tarama
Secrets Detection
Fuzz testing
Lisansları tarama ve analiz etme
Kullanılan tüm kitaplıkların görüntülenmesi, algılanan tüm sorunların ve güvenlik açıklarının esnek şekilde raporlanması da GitLab'ın standart bir parçasıdır. Birçok özel aleti tek bir çözümle değiştirmek, bugün bizim için belki de en önemli hedef olmaya devam ediyor.
Tüm bu çabalar ve elde edilen sonuçlar sayesinde GitLab, eksiksizliği ve uygulama kabiliyeti nedeniyle 2021 yılında Gartner Magic Quadrant for Application Security Testing'e dahil edildi. Bunun yalnızca DevSecOps'un geleceğinin geliştiricileri bilgi güvenliği süreçlerine dahil etmek ve onları yeterli araçlarla donatmak olduğuna olan inancımızı doğruladığına inanıyoruz.
Ayrıca, başarılarımıza güvenmediğimizi ve riskleri azaltmak ve yazılım ürünlerinin güvenlik düzeyini artırmakla bağlantılı ürün bileşenlerini geliştirmeye aktif olarak yatırım yapmaya devam ettiğimizi de belirtmek gerekir. İşte son 6 ayda (Gartner çeyreğine dahil olduğumuzdan beri) GitLab'a eklenen iyileştirmelerden sadece birkaçı:
Uyumluluk Çerçeveleri kullanan Uyumluluk ardışık düzenleri ,
Konteyner ağı politikaları için uyarı paneli ,
Güvenlik açıklarının durumunu büyük ölçüde değiştirme yeteneği ve risk yönetimi çalışmaları ile ilgili diğer iyileştirmeler,
Yönetim işlevlerini gerçekleştirmek için ek kimlik doğrulama gerektiren yönetici modu ,
Özel güvenlik açığı analizi kuralları için Semgrep,
anahtarların sona ermesiyle ilgili e-posta bildirimleri ,
SAML'yi Git ile çalışmaya zorlayın. ...
İsteğe bağlı programlanmış DAST taraması ve
DAST için önemli ölçüde daha geniş erişime sahip yeni tarayıcı tabanlı tarayıcı
Son zamanlardaki pek çok saldırının ardından (SolarWinds ve ardından ABD'deki bir gaz boru hattına yapılan saldırı gibi), uzmanların dikkati giderek artan bir şekilde uygulamaların güvenliğinin sağlanması konusuna çekilmektedir.
Ve GitLab, bu sorunları çözmek için birçok benzersiz yeteneğe sahiptir. Gerçek DevSecOps metodolojisi, geleneksel olarak bildiğimiz araçlardan çok daha fazla güce sahip yeni bir yazılım güvenliği çağını temsil ediyor. GitLab'ın pazarı bu evrime getirdiğine ve bu yönde ilerlemeye devam edeceğine inanıyoruz.
Son düzenleme:
