Quand un fournisseur DevSecOps n’est-il pas un fournisseur DevSecOps? – Gigaom

| |

Restez au courant des tendances technologiques d’entreprise

Recevez des mises à jour ayant un impact sur votre industrie grâce à notre communauté de recherche GigaOm

L’objectif général de DevOps est de permettre un processus plus efficace de production de solutions logicielles et technologiques et de rassembler les parties prenantes pour accélérer la livraison. Mais nous savons par expérience que cette approche intrinsèquement créative et axée sur les résultats oublie souvent une chose jusqu’à trop tard dans le processus: la sécurité. Trop souvent, la sécurité est intégrée dans la chronologie juste avant le déploiement, ce qui risque de provoquer des maux de tête de dernière minute et des retards importants. L’équipe de sécurité est poussée à être le chœur grec du processus, «ruinant le plaisir de tout le monde» en exigeant des changements et en ralentissant les choses.

Mais comme nous le savons, dans l’environnement complexe, multi-cloud et conteneurisé dans lequel nous nous trouvons, la sécurité devient plus importante et plus difficile que jamais. Et les coûts d’une défaillance de sécurité ne se mesurent pas seulement en termes de déploiement plus lent, mais également en cas de non-respect de la conformité et d’atteinte à la réputation.

Le terme «DevSecOps» a été inventé pour caractériser à quel point la sécurité doit être au cœur du processus DevOps. Il s’agit en partie d’outils de principe et d’outils. En principe, DevSecOps correspond au concept de «déplacement vers la gauche», c’est-à-dire de garantir que la sécurité est traitée le plus tôt possible dans le processus de développement. Jusqu’ici, si simple.

Du point de vue de l’outillage, cependant, les choses se compliquent, notamment parce que le marché a vu un certain nombre de plates-formes se commercialiser sous le nom de DevSecOps. En rédigeant notre rapport sur les critères clés sur le sujet, nous avons appris que tous les fournisseurs de DevSecOps ne sont pas nécessairement des fournisseurs de DevSecOps. Plus précisément, nous avons appris à distinguer les capacités qui permettent directement les objectifs de DevSecOps du point de vue des processus, de celles conçues pour prendre en charge les pratiques DevSecOps. Nous pourrions les définir comme: «Ceux qui le font et ceux qui aident.»

Voici comment distinguer les deux types de fournisseurs et comment les utiliser.

Fournisseurs activant DevSecOps: «Des outils efficaces»

Un certain nombre d’outils fonctionnent pour faciliter le processus DevSecOps – prenons la parole et appelons-les outils DevSecOps. Ils aident les équipes à définir chaque étape du développement logiciel, réunissant des équipes cloisonnées autour d’une vision unifiée qui permet un développement rapide et de haute qualité, avec des considérations de sécurité au cœur. Les outils DevSecOps fonctionnent tout au long du processus de développement, par exemple:

  • Créer: Aide à définir et mettre en œuvre la politique
  • Développer: Appliquer des conseils au processus et aider à sa mise en œuvre
  • Tester: Faciliter et guider les procédures de test de sécurité
  • Déployer: Fournir des rapports pour assurer la confiance pour déployer l’application

L’élément clé qui distingue ces outils est la capacité d’automatiser et de réduire les frictions au sein du processus de développement. Ils inciteront à l’action, empêcheront une équipe de passer d’une étape à une autre si le processus n’a pas correctement traité les problèmes de sécurité et guideront la feuille de route pour le développement du début à la fin.

Soutenir DevSecOps: «Des outils qui aident»

Dans cette catégorie, nous plaçons les outils qui facilitent l’exécution et la surveillance des bons principes DevSecOps. L’analyse de la sécurité et les outils de renforcement des applications / infrastructures sont un élément clé de ces processus: l’analyse de la composition logicielle (SCA) fait partie de la phase de développement, les tests de sécurité des applications statiques / dynamiques (SAST / DAST) font partie intégrante de la phase de test et de l’application d’exécution protection (RASP) est une clé de l’étape de déploiement.

Des outils comme celui-ci sont une partie vitale de la couche de sécurité des outils de sécurité, en particulier juste avant le déploiement – et ils sont souvent fournis avec des API afin de pouvoir être connectés au processus CI / CD. Cependant, bien que ces fonctionnalités soient très importantes pour DevSecOps, elles peuvent être davantage considérées comme un rôle de support, plutôt que comme des outils DevSecOps en soi.

Le lavage DevSecOps n’est pas une bonne idée pour l’entreprise

Bien que l’on puisse affirmer que la sécurité n’aurait jamais dû être déplacée vers la droite, DevSecOps existe pour garantir que les meilleures pratiques de sécurité ont lieu tout au long du cycle de vie du développement. Il existe un corollaire à l’idée d ‘«outils qui aident», à savoir que les organisations qui mettent en œuvre ces outils ne «font pas de DevSecOps», pas plus que les fournisseurs fournissant ces outils ne sont des fournisseurs de DevSecOps.

La seule façon de «faire» DevSecOps est d’adopter pleinement la sécurité au niveau de la gestion des processus et de la gouvernance: cela signifie évaluer les risques, définir la politique, définir des portes d’examen et interdire la progression des livrables non sécurisés. Les organisations qui adoptent DevSecOps peuvent obtenir de l’aide de ce que nous appelons les outils DevSecOps, ainsi que des outils d’analyse et de renforcement qui aident à atteindre ses objectifs.

En fin de compte, toute la sécurité et la gouvernance se résument au risque: si vous achetez un outil d’analyse pour pouvoir cocher une case indiquant «DevSecOps», vous augmentez potentiellement votre posture de risque, plutôt que de l’atténuer. Alors, corrigez d’abord votre stratégie DevSecOps, puis réfléchissez à la manière dont vous pouvez ajouter de l’automatisation, de la visibilité et du contrôle à l’aide des «outils qui font», ainsi que bénéficier des «outils qui aident».

Previous

La société de paris britannique Genius Sports devient publique dans le cadre d’un accord SPAC de 1,5 milliard de dollars

Jamie Foxx rend hommage après le décès de sœur DeOndra à 36 ans

Next

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.