DevSecOps, c'est quoi ?

12.06.22  Mor Dioum, Lead Cloud and DevOps ● 5 minutes lecture 

Que signifie DevSecOps ?

Dans la pratique, le mouvement DevOps vise à améliorer la collaboration entre les équipes de développement et d’exploitation tout en intronisant des normes modernes de développement et de livraison. Malheureusement, cette approche se soustrait aux précautions pourtant obligatoires de la cybersécurité. En effet, notre capacité d’identifier et d'atténuer rapidement les risques de sécurité est désormais essentielle pour protéger les actifs et les données sensibles de nos organisations. 

Pour défendre votre entreprise contre les cybermenaces croissantes, la sécurité doit être intégrée sur tout le cycle de vie de vos applications, à commencer par les phases de développement. Comment faire ? Il suffit juste d'ajouter Sec dans le pattern traditionnel DevOps. 

Définition de DevSeCops

Les programmes DevOps sécurisés ou DevSecOps est une approche complète qui intègre la sécurité à chaque phase du cycle de vie des applications, de leur développement jusqu'à leur mise en production. En somme, nous n'attendons plus que l'application soit entre les mains des utilisateurs pour la sécuriser. L'application est livré sécurisée... en continu ! 

Donc DevSecOps agrémente les méthodes DevOps telles que CI/CD ou les microservices, avec les pratiques de sécurités suivantes : énumération des faiblesses communes (CWE), modélisation des menaces, testes de sécurités automatiques, la gestion des incidents... 

Les outils DevSeCops

Les outils d'analyse de vulnérabilités sont répartis en deux catégories: SAST et DAST.

Static Application Security Testing (SAST)

SAST est une méthode de test en boîte blanche. Il examine le code source pour trouver des failles et des faiblesses logicielles telle que l’injection SQL et d'autres (que vous pouvez retrouver dans le Top Ten OWASP.

Static Application Security Testing (SAST)

DASR est une méthode de test de type boite noire qui examine et analyse les vulnérabilités d’une application en cours d’exécution (en production) pour toucher les points qu’un attaquant peut exploiter. Parmi les outils SAST nous avons : SonarQube, Aqua Security, Snyk, Veracode, et bien d'autres !

Liens utiles

Voici quelques liens qui peuvent vous aider à comprendre et à implémenter quelques outils DevSecOps de OWASP : Outils de scan de code (OWASP) ; Outils de scan et test de pénétration (g2)Comprendre l’approche DevSecOps (GSA).

Terraform c'est quoi ?
qu'est ce que le cloud native ?
www.beopenit.com

Assurons que vos efforts investis dans le cloud soient rentables … dans le temps !


© Copyright BeOpen IT.  All Rights Reserved