Dạo gần đây Devsecops là keyword được rất nhiều các công ty, tổ chức quan tâm. Trong bài này mình chia sẻ 1 ít kinh nghiệm đã làm devsecops trong thời gian qua. Devsecops hiểu nôm na là security cho devops. Muốn làm security cho devops thì cái đầu tiên các bạn cần phải hiểu được các khái niệm trong devops, mô hình devops mà công ty đang sử dụng. 1 số khái niệm cơ bản trong devops:
– Cloud: AWS, Azure, GCP
– Git
– CI/CD
– Repository
– Docker
– Kubernetes
– CM, IaC, CaC, KMS
– Log management
– Threat modeling
– Data Flow
Như vậy security sẽ làm gì cho devops ?
1. Đánh giá kiến trúc hệ thống cho dự án và đưa ra threat modeling
– Security requirements
– Container security
– Cloud security
– Threat modeling
2. Security tools cho CI: tích hợp Dependency scanning, SAST/DAST
– Dependency scanning: Gitlab-ee đã support, checkmarx, synopsys black duck…
– SAST (Static Application Security Testing): sonarqube, checkmarx, synopsys Coverity, Veracode…
– DAST (Dynamic Application Security Testing): Burpsuite, Appscan, Acunetix, Netsparker
– API testing
– Issue tracking: Jira
– Repository: scan docker image
3. Security tools cho CD:
– SAST (Static Application Security Testing): sonarqube, checkmarx, synopsys Coverity, Veracode…
– DAST (Dynamic Application Security Testing): Burpsuite, Appscan, Acunetix, Netsparker
– IAST (Interactive Application Security Testing)
– API testing
– Issue tracking: Jira
– Audit container
4. Deployment
– Container security runtime
– WAF: ModSecurity, Imperva, F5…
– RASP (Runtime Application Self-Protection)
5. Monitoring
Trong bài sau mình sẽ viết về 1 flow chi tiết devsecops sẽ làm những việc gì từ khi có backlog.
CÔNG TY TNHH CÔNG NGHỆ VNBACK
Website: https://vnback.com
Fanpage: https://www.facebook.com/vnback.technology/
Hotline/Zalo: 0973.608.148
Địa chỉ văn phòng: Số 6, Ngõ 34 Đường Mỹ Đình, Phường Mỹ Đình 2, Quận Nam Từ Liêm, Thành phố Hà Nội