Trace Id is missing
Gå till huvudinnehåll
Microsoft Security

Vad är DevSecOps?

Ta reda på hur du integrerar säkerhetsrutiner i varje fas i livscykeln för programvaruutveckling i din multimolnmiljö.

Upptäck Microsoft Defender för DevOps

Definition av DevSecOps

DevSecOps, som står för utveckling, säkerhet och drift, är ett ramverk som integrerar säkerhet i alla faser i livscykeln för programvaruutveckling. Organisationer använder den här metoden för att minska risken för att lansera kod med säkerhetsrisker. Genom samarbete, automatisering och tydliga processer delar teamen ansvaret för säkerheten, istället för att lämna det till slutet då problem kan vara mycket svårare och dyrare att åtgärda. DevSecOps är en viktig komponent i en strategi för multimolnsäkerhet.

DevSecOps jämfört med DevOps

I traditionell programvaruutveckling delas projekt in i olika faser för planering, design, utveckling, integrering och testning, som sker sekventiellt under flera månader eller till och med år. Även om den här metoden är mycket metodisk har många organisationer upptäckt att den är för långsam, vilket gör det svårt att uppfylla kundernas förväntningar på kontinuerliga produktförbättringar. Dessutom behandlas säkerheten vanligtvis först på slutet, vilket gör att företag riskerar att utsättas för intrång.

För att förbli konkurrenskraftiga har många företag infört en DevOps-modell som prioriterar leverans av mindre paket med kod av hög kvalitet istället för funktionsrika projekt som tar längre tid. I det här ramverket samarbetar programutvecklings- och driftteamen för att införliva testning och integrering under hela processen. Automatisering, standardiserade processer och samarbete bidrar till att team kan agera snabbt utan att offra kvalitet.

DevSecOps är en vidareutveckling av DevOps som bygger in säkerhet i alla aspekter av processen. Målet är att lösa säkerhetsproblem från projektets första början. I det här ramverket tar hela teamet inte bara ansvar för kvalitetskontroll och kodintegrering utan även säkerhet. I praktiken innebär det att teamen diskuterar säkerhetskonsekvenser under planeringen och börjar testa säkerhetsproblem i utvecklingsmiljöer, istället för att vänta till slutet. Ett annat namn för den här metoden är ”shift left”-säkerhet.

Varför är DevSecOps viktigt?

Det finns många metoder som angripare använder för att få åtkomst till en organisations data och tillgångar, men en vanlig taktik är att utnyttja sårbarheter i programvara. Dessa typer av överträdelser är kostsamma och tidskrävande och kan, beroende på allvarlighetsgraden, dessutom skada företagets rykte. DevSecOps-ramverket minskar risken för att distribuera programvara med felkonfigurationer och andra säkerhetsrisker som angripare kan utnyttja.

Viktiga komponenter i DevSecOps

En lyckad DevSecOps-process innehåller följande komponenter:

  • Kontinuerlig integrering

    Med kontinuerlig integrering checkar utvecklare in sin kod på en central lagringsplats flera gånger om dagen. Sedan integreras och testas koden automatiskt. Den här metoden gör det möjligt för team att fånga upp integrationsproblem och buggar tidigt i processen istället för att vänta till slutet när det kan finnas flera problem som måste lösas.

  • Kontinuerlig leverans

    Kontinuerlig leverans bygger på kontinuerlig integrering för att automatisera processen med att flytta kod från byggmiljön till en mellanlagringsmiljö. Under mellanlagringsprocessen utförs utöver enhetstester även automatisk testning av programvaran för att säkerställa att användargränssnittet fungerar, koden har integrerats utan problem, API:er är tillförlitliga och programvaran kan hantera de förväntade trafikvolymerna. Målet med den här metoden är att konsekvent leverera produktionsklar kod som ger kunderna mervärde.

  • Kontinuerlig säkerhet

    Att bygga in säkerhet i hela livscykeln för programvaruutveckling är en viktig komponent i DevSecOps. Detta omfattar hotmodellering tidigt i processen och automatiserad säkerhetstestning under hela livscykeln, med början i utvecklarnas egna miljöer. Genom att noggrant testa om det finns säkerhetsproblem i programvaran tidigt och ofta kan organisationer effektivt leverera programvara med minimala problem.

  • Kommunikation och samarbete

    DevSecOps är mycket beroende av att enskilda personer och team arbetar nära varandra. Kontinuerlig integrering kräver att personer samarbetar för att hantera konflikter i kod, och teamen måste kommunicera effektivt för att samlas kring samma mål.

Så implementeras DevSecOps

Att lägga till säkerhet i DevOps-processen kräver noggrann planering. Börja långsamt med processer som ger minst friktion för teamet och har störst inverkan på säkerheten. Här är några sätt att lägga till säkerhet i en typisk DevOps-sprint.

  • Planering och utveckling

    Att introducera säkerhet tidigt i utvecklingssprintar bidrar inte bara till att minska sårbarheter längre fram, utan sparar också tid eftersom det är enklare att åtgärda problem innan koden har kompilerats och integrerats. Under planering och utveckling använder du hotmodellering för att identifiera och hantera potentiella hot mot programmet. Detta hjälper dig att bygga in säkerhet i programmet direkt från början. Om du vill upptäcka säkerhetsproblem innan kod checkas in på den delade lagringsplatsen implementerar du automatiska kontroller, till exempel plugin-program för Integrated Development Environment-säkerhet, som ger utvecklare omedelbar feedback om det finns en potentiell säkerhetsrisk i koden som de har skrivit. Under kodgranskningen ser du till att en säkerhetsexpert ger rekommendationer om förbättringar.

  • Kodincheckning

    En av nyckelfaktorerna till en lyckad DevSecOps-process är kontinuerlig integrering. Utvecklare checkar vanligtvis in sin kod på en central lagringsplats flera gånger om dagen för att säkerställa att integreringsproblem fångas tidigt. Det är viktigt att lägga till automatiska säkerhetskontroller i den här fasen. Detta kan omfatta genomsökning av bibliotek och beroenden från tredje part, enhetstestning och statisk programsäkerhetstestning. Det är också viktigt att distribuera rollbaserade åtkomstkontroller för att skydda infrastrukturen för kontinuerlig integrering och kontinuerlig leverans från angripare som vill köra skadlig kod eller stjäla autentiseringsuppgifter.

  • Kompilering och testning

    Om du kör automatiserade säkerhetsskript i testmiljön kan du upptäcka potentiella problem som inte tidigare har identifierats. Några av de säkerhetstester som du kan köra under den här fasen är dynamisk programsäkerhetstestning, infrastrukturgenomsökning, containergenomsökning, validering av molnkonfiguration och testning av säkerhetsgodkännande.

  • Produktion

    När programmet har distribuerats till produktion utför vissa organisationer intrångstester för att försöka hitta svagheter i livemiljön. Vid intrångstestning antar personer en angripares tankesätt och söker efter sätt att göra intrång i programmet.

  • Drift

    Även den bästa DevSecOps-processen fångar inte upp allt, så det är viktigt att kontinuerligt övervaka program efter sårbarheter och hot. Med hjälp av analysdata kan du utvärdera om din säkerhetsstatus förbättras och lyfta fram områden för optimering.

Verktyg och teknik i DevSecOps

När du väljer säkerhetsverktyg är det viktigt att välja dem som fungerar bra med din aktuella DevOps-teknik. Detta gör det enklare att införliva säkerhet i hela processen. Följande är några av de typer av verktyg som du kan behöva:

  • Genomsökning av infrastruktur som kod

    För att förbättra effektiviteten använder DevSecOps-team vanligtvis verktyg med öppen källkod som Terraform för att hantera och tillhandahålla infrastruktur som nätverk, virtuella datorer och lastbalanserare via kod istället för att göra det manuellt. Terraform bidrar till att säkerställa att infrastrukturen konfigureras och uppdateras konsekvent på hundratals eller tusentals servrar. För att minska risken för att felkonfigurationer distribueras till produktionsmiljön kontrollerar verktyg för genomsökning av infrastruktur som kod automatiskt infrastrukturen på kodnivå för att hitta inkompatibilitet med säkerhetsprinciper och standarder.

  • Statisk programsäkerhetstestning

    Innan koden kompileras börjar DevSecOps-utvecklare testa sin anpassade kod för att söka efter säkerhetsrisker. Detta hjälper dem att åtgärda problem utan att påverka bygget. Verktyg för statisk programsäkerhetstestning gör den här processen enklare med automatiska kontroller och feedback i realtid. Många verktyg identifierar exakt vilken kod som är riskfylld och ger förslag på korrigeringar.

  • Analys av programvarusammansättning

    Ett sätt för team att skapa program och funktioner effektivare är att använda plugin-program och ramverk från tredje part. Dessa fördefinierade verktyg sparar tid, men de kan också medföra risker, till exempel problem med licensiering, dåligt skriven kod eller säkerhetsrisker. Verktyg för analys av programvarusammansättning identifierar komponenter med öppen källkod i program och utvärderar dem mot proprietära eller kostnadsfria databaser för att identifiera licensöverträdelser och säkerhets- och kvalitetsproblem.

  • Interaktiv programsäkerhetstestning

    Under kvalitetskontrolltestning eller när ett program används söker interaktiva programsäkerhetsverktyg igenom koden för att hitta säkerhetsrisker och tillhandahålla rapporter som identifierar var i koden problemet finns.

  • Dynamisk programsäkerhetstestning

    Dynamisk programsäkerhetstestning emulerar de metoder som en angripare kan använda för att attackera ett program. Den här testningen sker medan programmet körs och baseras på fördefinierade användningsfall.

  • Containergenomsökning

    Containrar används ofta i DevSecOps eftersom de gör det enkelt för utvecklare att distribuera fristående kodenheter. I en container finns en containeravbildning som innehåller koden som kör processer för containern. Dessa avbildningar skapas ofta med befintliga avbildningar eller hämtas från offentliga lagringsplatser. Verktyg för containergenomsökning söker igenom containrar och jämför dem med offentliga eller proprietära sårbarhetsdatabaser för att upptäcka potentiella säkerhetsproblem.

Metodtips för DevSecOps

DevSecOps handlar lika mycket om en kulturförändring som processer och verktyg. Här följer några metodtips som gör det så enkelt som möjligt att införa det här ramverket.

  • Ändra kulturen

    Förstå att människor kan ha svårt att ändra sitt sätt att arbeta och att konflikter kan uppstå. För att hjälpa dem att anpassa sig kommunicerar du tydligt organisationens mål och förväntningar, ger många möjligheter till öppen dialog och förväntar dig att du måste vara flexibel tills teamen hittar de verktyg, processer och den takt som fungerar bäst för dem.

  • Definiera krav och mått

    Upprätta en baslinje för minimisäkerhet. Du kan hitta vägledning till exempel i bransch- och regelkrav eller i Open Worldwide Application Security Project® (OWASP) Top Ten, en lista med de tio mest kritiska riskerna för webbappar, och i SANS Top 25-listan med programvarufel. När du har definierat kraven avgör du vilka mått du vill följa upp för att övervaka dina framsteg.

  • Börja smått

    Verktyg för säkerhetsautomatisering har många alternativ för att kontrollera problem i kod, men att aktivera dem alla, särskilt tidigt i ditt införande av DevSecOps, kan överbelasta ditt team. Använd gott omdöme när du väljer vilka verktyg du ska implementera och hur många problem du ska söka efter.

  • Utför hotmodellering

    Utveckla en hotmodelleringsprocess som kan vara så enkel eller så detaljerad och teknisk som du behöver. Använd den här metoden för att dokumentera en realistisk säkerhetsbild av ditt program som innehåller:

    • hur angripare kan missbruka programmets design
    • hur säkerhetsrisker åtgärdas
    • prioritet för olika problem.

  • Implementera automatisering

    Automatisering är nyckeln till att möjliggöra både kvalitet och hastighet i DevSecOps-processen. Genom att bädda in automatiska säkerhetsgenomsökningar under alla faser i livscykeln för kontinuerlig integrering och kontinuerlig leverans kan du förbättra säkerheten för dina program utan att göra processen betydligt långsammare.

  • Hantera beroenden

    De flesta utvecklare använder paket och bibliotek från tredje part för att skapa program på ett effektivt sätt. Problemet är att vissa av dessa lösningar har säkerhetsbrister och att utvecklare inte alltid är noggranna med att hålla dem uppdaterade. För att minska risken kontrollerar du att de komponenter du använder har granskats när det gäller säkerhetsrisker och utvecklar en standardiserad process för att uppdatera dem.

  • Utvärdera och förbättra

    Utvärdera regelbundet hur processen fungerar och justera efter behov för att säkerställa att organisationen uppfyller sina mål. En skuldfri uppföljning efter att en sprint har slutförts kan bidra till att förbättringsmöjligheter identifieras. Analysdata och hotinformation kan också hjälpa dig att avgöra om det finns säkerhetsbehov som inte uppfylls av din nuvarande metod.

DevSecOps för molnbaserade program

Molnbaserade programMolnbaserade program är konstruerade för molnet och är vanligtvis leverantörsneutrala, så att de kan överföras från ett moln till ett annat. De är utformade för att vara mycket skalbara och motståndskraftiga. Utvecklingsteam bygger dem vanligtvis med hjälp av mikrotjänster, containrar och automatisering, vilket gör dem idealiska för en DevSecOps-process. Att bygga in kontinuerlig säkerhet, kontinuerlig integrering och kontinuerlig leverans i utvecklingsprocessen för molnbaserade program möjliggör skalbarhet utan att kompromissa med säkerheten. Använd automatiserade säkerhetslösningar, till exempel Microsoft Defender för DevOps, för att hjälpa till att skydda din kod och hela DevOps-pipelinen. När du har distribuerat ditt program till molnet fortsätter du att övervaka det och söka efter risker. Plattformar för skydd av molnarbetsbelastning (CWPP)Plattformar för skydd av molnarbetsbelastning (CWPP) bidrar till att skydda dessa program och underliggande data genom att identifiera och hantera hot mot arbetsbelastningar i multimolnmiljöer. Lösningar för Hantering av molnsäkerhetsstatus (CSPM)hantering av molnsäkerhetsstatus (CSPM) identifierar och åtgärdar felkonfigurationer och säkerhetsrisker i din miljö.

Mer information om Microsoft Security

Microsoft Defender för molnet

Skydda dina multimoln- och hybridmiljöer från utveckling till körning med en omfattande plattform för skydd för molnbaserade program.

Mer information

Microsoft Defender for Cloud Apps

Modernisera sättet du gör dina appar säkra, skyddar dina data och höjer din appsäkerhetsstatus med den här lösningen för programvara som en tjänst.

Mer information

Microsoft Defender för hantering av molnsäkerhetsstatus

Fokusera på dina mest kritiska risker i multimolnmiljön med sammanhangsbaserad hantering av molnsäkerhetsstatus.

Mer information

Microsoft Defender för DevOps

Få enhetlig säkerhetshantering för DevOps i miljöer med flera moln och pipelines.

Mer information

Vanliga frågor och svar

  • DevSecOps är en process som integrerar säkerhet i hela livscykeln för programvaruutveckling. Organisationer använder den här metoden för att minska risken för att lansera kod med säkerhetsrisker. Genom samarbete, automatisering och tydliga processer delar teamen ansvaret för säkerheten, istället för att lämna det till slutet när det kan vara mycket svårare och dyrare att hantera problem.

  • DevSecOps står för utveckling, säkerhet och drift. Det syftar på processen att integrera säkerhet i alla faser av programvaruutveckling.

  • ”Shift left” (vänsterförflyttning) är ett begrepp i DevSecOps som handlar om att införliva säkerhetsrutiner från första början av utvecklingsprocessen.

  • DevSecOps-ramverket omfattar kontinuerlig integrering, kontinuerlig leverans och kontinuerlig säkerhet. Det är en metod med vilken drift- och säkerhetsteam samarbetar och delar ansvaret för att snabbt leverera kvalitetsprogramvara, samtidigt som säkerhetsrisker minskas.

  • Det finns inte en universell DevSecOps-process som passar alla, men ett vanligt sätt att köra dessa projekt är att dela upp arbetet i sprintar som var och en innehåller följande komponenter: planering och utveckling, kompilering och testning samt produktion. Under sprinten använder teamen automatisering för att kontinuerligt hantera problem med kvalitetskontroll, kontinuerligt integrera och kontinuerligt testa för att hitta säkerhetsrisker.

Följ Microsoft Security