DevSecOps 流程中常见名词缩写
应用程序日益复杂并且开发速度加快,安全性越来越重要。随着企业采用DevOps,在保护应用程序和基础设施安全方面面临更多的挑战:
复杂性和自动化流程增加:自动化的DevOps使得流程和应用程序变得更加复杂。它们通常涉及保护多个系统和组件,如果不仔细管理和保护,很可能会引入漏洞。
依赖代码存储库:DevOps 团队严重依赖代码存储库进行版本控制和协作。但这些存储库可能成为攻击者的目标,注入恶意代码或窃取敏感信息。
更大的攻击面:DevOps管道由许多工具和组件组成,包括源代码管理、构建系统、测试框架和部署工具。这些工具都可能有潜在的攻击面。
快速迭代:DevOps环境中的快速开发速度有时会导致安全性被忽视或优先级降低。
工具限制:虽然许多DevOps工具都带有内置的安全特性,但这些特性可能不足以抵御所有威胁。
什么是 DevSecOps?
DevSecOps 使团队能够将安全性左移,并在整个 SDLC 中持续集成安全性。对于DevOps团队来说,这也是一种文化转变,因为它要求所有成员采用安全思维方式,确保软件不仅以尽可能高的质量快速发布,而且还包括在设计阶段考虑安全性。
通常涉及采用安全编码实践和使用应用程序安全测试工具,以安全的方式帮助设计、测试、验证、发布和更新安全软件。它要求不仅软件本身是安全的,而且开发环境和整个供应链也是安全的。因此,DevSecOps依赖于高水平的自动化工具来减少人员工作。
DevOps 安全缩略语
1. SBOM — 软件物料清单
软件材料清单(SBOM)包括应用程序构建和交付中的所有组件和软件依赖项。内容涵盖了软件中包含的所有不同组件和许可,以帮助发现潜在的漏洞和许可风险。
2. DAST – 动态应用程序安全测试
DAST在应用程序或服务运行时进行分析,以识别安全漏洞。这种技术通常模拟攻击,以了解恶意行为者如何利用用户或应用程序界面。团队使用DAST工具来检测静态分析工具在分析源代码时无法发现的由特定功能引起的复杂漏洞。
3. SCA – 软件成分分析
SCA工具识别第三方组件和依赖项中的安全漏洞。团队可以集成SCA在整个开发管道运行,为应用程序构建开源依赖树,并将这些组件映射到已知漏洞的数据库。该工具生成关于在应用程序中发现的需要修复或补丁的易受攻击的开放源码组件的报告。
4. SAST – 静态应用程序安全测试
SAST工具分析应用程序源代码,识别由于不安全的编码实践而导致的潜在漏洞。团队可以将SAST工具集成到他们的管道中,将其设置为自动拉取源代码,以查找编码规范和可能导致安全漏洞的不安全对象或函数。SAST通常用于在编码阶段或将代码放入测试环境时识别漏洞。
5. IAST — 交互式应用程序安全测试
IAST在应用程序运行时分析源代码中的漏洞。IAST的主要优点是该方法实时报告漏洞,并且不会为CI/CD管道增加额外的时间。它在应用程序内部工作,区别于在外部工作的SAST和DAST技术。IAST不扫描整个代码库。相反,它只检查在功能测试期间执行的部分。
6. RASP — 运行时应用程序自我保护
RASP是内置于测试应用程序中的一种防御技术,用于在发生攻击时检测和响应。通常使用嵌入在应用程序中的第三方工具来实现,以监视传入的请求和应用程序的行为,例如包、插件或库。
7. OWASP — 开放式 Web 应用程序安全项目
OWASP是一个非营利组织,致力于通过提供免费资源和工具来帮助提高软件安全性。该组织由一个庞大的志愿者社区组成,他们帮助提出、构建和管理支持更广泛的软件开发和安全社区的项目等。
8. XSS — 跨站点脚本
XSS安全漏洞。在很多web应用程序中容易出现。自从2003年版本中首次包含这个漏洞,一直在OWASP TOP 10漏洞列表中。XSS漏洞使威胁行为者能够在一个或多个用户的浏览器中执行恶意脚本代码。参与者经常使用XSS来收集敏感信息,例如用户会话详细信息和个人数据。
9. SQLi—SQL注入
SQLi是一种代码注入技术,使威胁行为者能够攻击应用程序。当应用程序需要用户输入(比如用户名),但却接收到恶意SQL语句时,通常会发生这种情况。要发动这种攻击,攻击者必须在web应用程序中找到易受攻击的用户输入,创建输入内容并发送。如果数据库执行恶意SQL命令,攻击者将获得对数据库的访问权。
10. CSRF——跨站请求伪造
CSRF是一种常见的web应用程序攻击,它利用用户和应用程序之间的信任进行各种恶意操作。威胁行为者使用CSRF劫持用户浏览器和应用程序之间经过身份验证的会话。一旦参与者访问了会话,他们就可以使用它来执行应用程序上的功能。
结论
在当今混乱的网络环境中,DevOps团队不能仅仅优先考虑快速发布高质量软件。为了保护软件、基础设施和开发环境,DevOps团队需要将安全性集成到整个SDLC中。
来源:
https://devops.com/a-devops-guide-to-the-language-of-devsecops/