DevSecOps

DevSecOps, güvenlik kontrollerinin DevOps süreçlerine dahil edilmesi yaklaşımıdır. DevOps ile birlikte gelen “hızlı” ürün/uygulama teslim süreçlerindeki güvenlik problemlerini çözmeyi amaçlar. Güvenlik zafiyetlerinin SAST ve DAST ile büyük oranda erken aşamalarda tespiti sayesinde toplam maliyetin önemli ölçüde düşürülmesine katkıda bulunur.

Neden DevSecOps Hizmeti?

DevOps yaklaşımının sağladığı çeviklik ve esneklikten tam anlamıyla yararlanılmak isteniyorsa güvenliğin, uygulamalar ve tüm ürün yaşam döngüsüne entegre olması gerekir. DevSecOps yazılım geliştirme yaklaşımı ile güvenlik konusunun geç aşamalarda ele alınmasının önüne geçilerek, teslimat sürecine (delivery pipeline) entegre edilmesi sağlanır.

Eski tip güvenlik yaklaşımları sebebiyle başarılı bir DevOps sürecinin canlıya çıkış aşaması günlerce, belki de haftalarca gecikebilir. Bu durumun engellenmesi amacıyla, kapsamlı bir DevSecOps çalışması ile otomasyon ve entegrasyon süreçlerinin kurgulanması gerekir.

SAST ve DAST

Static Application Security Testing (SAST) ve Dynamic Application Security Testing (DAST) araçları ile kodun derlenmesi öncesi veya anında statik, sonrasında ise dinamik testler ile tamamlayıcı bir güvenlik yaklaşımı sağlar.

Erken Tespit

Continuous Delivery süreçlerine entegre edilecek SAST ve DAST araçları ile zafiyetlerin erken aşamalarda bulunarak, düşük maliyetle düzeltilmesi mümkündür.

Güvenlik Otomasyonu

DevSecOps yaklaşımı testleri otomatikleştirerek olası güvenlik risklerini azaltırken, tutarlılık ve öngörülebilir açısından fayda sağlar.

İzolasyon

Ekipler, test ve raporlama için kapalı devre otomasyon süreçleri oluşturabilir. Böylece güvenlik problemlerinin dışarıya yansımadan, derhal çözümü mümkündür.

 

DevSecOps Pipeline

1

Birim Testleri

2

Statik Kod Güvenlik Analizi - SAST

3

Üst Seviye Testler

4

Dinamik Kod Güvenlik Analizi - DAST

5

Raporlama

6

İş Kararı

Desteklenen DevSecOps Araçları