Recherche de site Web

DevSecOps : une histoire open source

DevSecOps apporte des changements de culture, des cadres et des outils dans les logiciels open source. Pour comprendre DevSecOps, vous devez comprendre sa relation avec l'open source.

Les récentes violations de la chaîne d'approvisionnement, ainsi que le nouveau décret du président Biden sur la cybersécurité, attirent une attention renouvelée sur la valeur du DevSecOps pour l'entreprise. DevSecOps apporte des changements de culture, des cadres et des outils dans les logiciels open source (OSS). Pour comprendre DevSecOps, vous devez comprendre sa relation avec OSS.

Qu’est-ce que DevSecOps ?

Dans sa forme la plus pure, DevOps (qui est une fusion de développement et d'exploitation) est une méthodologie permettant de briser les silos traditionnels entre les programmeurs et les administrateurs système pendant le cycle de vie de livraison de logiciels. Les entreprises et les agences gouvernementales adoptent DevOps pour diverses raisons, notamment pour améliorer la vitesse de livraison des logiciels afin de mieux servir les clients.

DevSecOps ajoute la sécurité dans DevOps, affinant davantage le concept pour assurer la qualité, la sécurité et la fiabilité du code grâce à l'automatisation, permettant une sécurité et une conformité continues. Les organisations cherchant à se conformer à Sarbanes Oxley (SOX), à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), à FedRAMP et à des programmes similaires sont candidates à la mise en œuvre de DevSecOps.

Par exemple, une agence gouvernementale fédérale cherchant à se conformer à FedRAMP devrait utiliser DevSecOps, car cela lui permet d'intégrer l'automatisation de la sécurité à chaque étape de son processus de développement logiciel. De même, un établissement de santé chargé de données personnelles de santé (PHI) sensibles a besoin de DevSecOps pour garantir que ses applications cloud répondent aux exigences de conformité HIPAA.

Plus vous déplacez les mesures de sécurité vers la gauche pour résoudre ces problèmes de développement, plus vous économisez de l’argent. Vous évitez également les gros titres négatifs potentiels, car vos équipes n'ont pas à répondre aux problèmes de production, où les coûts de remédiation peuvent grimper bien plus haut que si vous les aviez détectés dans votre environnement de développement.

Vous pouvez considérer le passage de DevOps à DevSecOps comme une autre étape du parcours DevOps. Mais il s’agit plutôt d’une transformation pour votre organisation de développement et pour l’ensemble de votre entreprise. Voici un cadre typique :

  1. Analyser, communiquer et éduquer : cela inclut l'analyse de la maturité de votre processus de développement ; définir DevSecOps pour votre organisation ; et favoriser une culture DevSecOps avec un feedback et une interaction continus, l'autonomie des équipes, ainsi que l'automatisation et l'architecture.
  2. Intégrez la sécurité dans votre cycle de vie DevOps : assurez-vous que vos équipes DevOps et de sécurité travaillent ensemble.
  3. Introduisez l'automatisation dans votre cycle de vie DevOps : démarrez de petits projets de développement et développez progressivement votre stratégie d'automatisation.
  4. Collaborez sur les modifications de sécurité apportées à vos chaînes d'outils DevOps : faites travailler vos équipes de développement et de sécurité conjointement sur des projets visant à renforcer votre chaîne d'outils DevOps.
  5. Exécuter sur DevSecOps : impliquez pleinement vos équipes dans vos chaînes d'outils DevSecOps et vos nouveaux processus.
  6. Encouragez l'apprentissage continu et l'itération : proposez à vos développeurs et administrateurs système des mécanismes de formation et de feedback pour soutenir les performances des développeurs et la santé de vos chaînes d'outils.

Nous sommes à un moment unique dans l’histoire du développement logiciel, où la nécessité d’augmenter la sécurité et d’accélérer le développement logiciel est à la croisée des chemins. Même si DevOps a fait beaucoup pour augmenter la vélocité, il restait toujours plus à faire.

Croissance de DevSecOps

La croissance de DevSecOps a été visible dans les domaines soucieux de la conformité et de la sécurité. Par exemple, il bénéficie d’un nombre croissant d’adeptes au sein du ministère américain de la Défense, soucieux de sa sécurité. Des projets tels que Platform One montrent comment les pratiques DevSecOps peuvent protéger les technologies open source et cloud dans les missions gouvernementales les plus soucieuses de la sécurité.

Selon le Hype Cycle for Agile and DevOps de Gartner, 2020, DevSecOps a une pénétration de 20 à 50 % dans l'industrie. La pandémie a agi comme un catalyseur pour DevSecOps, les organisations ayant déplacé le développement d'applications vers le cloud.

Les défis du DevSecOps

Même si vous considérez DevSecOps comme une autre étape de votre parcours DevOps, vous pouvez vous attendre à des changements dans votre chaîne d'outils, dans les rôles au sein de vos équipes DevOps et de sécurité, ainsi que dans la manière dont vos groupes interagissent. Plus de 60 % des personnes interrogées dans le cadre de l'enquête mondiale DevSecOps 2021 de GitLab signalent de nouveaux rôles et responsabilités grâce au DevOps, alors préparez vos collaborateurs dès le départ et réduisez les surprises au minimum.

Il existe une variété d'outils DevSecOps open source que vous pouvez adopter pour développer votre pipeline DevOps, notamment :

  • Alerta consolide et déduplique les alertes provenant de plusieurs sources pour fournir des visualisations rapides. Il s'intègre à Prometheus, Riemann, Nagios et à d'autres outils et services de surveillance destinés aux développeurs. Vous pouvez utiliser Alerta pour personnaliser les alertes afin de répondre à vos besoins.
  • StackStorm propose une automatisation basée sur les événements fournissant des corrections et des réponses scriptées. Certains utilisateurs l'appellent affectueusement "IFTTT pour les opérations".
  • Grafana vous permet de créer des tableaux de bord personnalisés qui regroupent toutes les données pertinentes pour visualiser et interroger les données de sécurité.
  • OWASP Threat Dragon est un outil Web qui propose des diagrammes de système et un moteur de règles pour modéliser et atténuer automatiquement les menaces. Threat Dragon vante une interface facile à utiliser et une intégration transparente avec d'autres outils de développement logiciel.

DevSecOps apporte une culture, de la même manière que DevOps. Favoriser une culture DevSecOps, c'est donner la priorité à la sécurité et en faire l'affaire de tous. Les organisations DevSecOps doivent aller au-delà de la formation obligatoire à la sécurité en ligne à l’échelle de l’entreprise avec un dialogue standardisé et intégrer la sécurité dans les processus de développement et commerciaux.

DevSecOps et atténuation des risques open source

Les entreprises et même les agences gouvernementales utilisent jusqu'à 90 % de code open source. Cela représente parfois des centaines de bibliothèques discrètes dans une seule application. Il ne fait aucun doute que les logiciels libres permettent aux équipes DevOps d'économiser du temps et de l'argent, mais un modèle de sécurité DevSecOps peut être nécessaire pour atténuer les risques liés aux logiciels libres et les complexités liées aux licences.

Quarante-six pour cent des personnes interrogées dans l'enquête de Synopsys sur les pratiques DevSecOps et la gestion de l'Open Source en 2020 ont déclaré que la couverture médiatique des problèmes open source affecte la façon dont ils mettent en œuvre les contrôles dans leurs projets OSS. La couverture médiatique continue des récentes violations de la chaîne d'approvisionnement renforce les inquiétudes des dirigeants technologiques quant à la rigueur de leurs contrôles.

Les stratégies d'atténuation des risques OSS et DevSecOps vont de pair de plusieurs manières, telles que :

  • Commencez à générer une nomenclature logicielle (SBOM) comme contrôle de qualité avant que l'OSS n'entre dans votre chaîne d'approvisionnement logicielle.
  • Accordez à l’approvisionnement en logiciels libres la même attention qu’à la vérification, à l’achat et à l’admission des logiciels d’entreprise en faisant appel aux talents de vos équipes de développement, de sécurité et de back-office d’entreprise. Vous pouvez adapter votre cycle de vie DevSecOps pour prendre en compte votre stratégie d'approvisionnement en logiciels libres.

Dernières pensées

DevSecOps est un sujet bruyant en ce moment. De nombreux spécialistes du marketing tentent de le définir afin de vendre davantage de produits aux entreprises commerciales et du secteur public. Néanmoins, la relation entre OSS et DevSecOps reste claire car les outils et stratégies DevSecOps offrent une barrière de sécurité pour intégrer les OSS dans la chaîne d'approvisionnement logicielle et votre pipeline DevSecOps tout en maintenant la sécurité et la conformité dès la première étape du processus.

Articles connexes: