Secure SDLC (S-SDLC) – Road Map do DevSecOps – Parte -1.
DevOps está bem! Agora temos que incluir a segurança no processo DevOps. Por isso temos DevSecOps. Falamos muito sobre DevSecOps. Mas se você quer se tornar um especialista em DevSecOps, você precisa de um roteiro para aprender. Como parte do Roteiro para DevSecOps, esta é a parte -1, falando sobre o Secure Software Development Life Cycle (S-SDLC). Secure SDLC é o processo de garantir atividades de segurança como Revisão de Código, Teste de Penetração e muito mais na estrutura SDLC.
Tabela de Conteúdos
- 1 O que é Secure SDLC?
- 2 Ativa em Secure SDLC.
- 2.1 Iniciação
- 2.2 Coleta de design e requisitos
- 2.3 Desenvolvimento
- 2.4 Testes e Análise de Código
- 2.5 Implantação e Operação
- 3 Conclusão
O que é Secure SDLC?
Em palavras simples, o Ciclo de Vida do Desenvolvimento de Software Seguro é o processo de assegurar as Atividades de Segurança, juntamente com a coleta dos requisitos de segurança paralelamente, ao coletar o processo usual de coleta de requisitos funcionais no SDCL.
Então a definição é boa! precisamos saber quais são as atividades de segurança e onde e quando adicioná-la no processo SDLC. Leia este artigo ainda para entender as atividades do Secure SDLC.
Ativa em Secure SDLC.
Juntamente com o SDLC Tradicional, temos algumas atividades a serem feitas para garantir a segurança no SDLC, veremos o SDLC Tradicional e os Ativadores de Segurança envolvidos em cada processo de SDLC,
Antes disso, como um recall, veremos, quais são as fases do SDLC.
Ciclo de vida de desenvolvimento de software
- Iniciação
- Coleta de design e requisitos
- Desenvolvimento
- Testes e Análise de Código
- Implantação e Operação
Cada fase do SDLC está tendo algum processo de segurança que discutiremos um a um.
Iniciação
Como todos sabemos, iniciação ou planejamento é o processo de definição do que vamos fazer e por que vamos fazê-lo. Então, nisso, vamos ver quais são os processos de Segurança que estão envolvidos nesta fase do SDLC.
- Avaliação inicial de riscos – A avaliação de risco, em geral, é o processo de identificação dos riscos e fatores de risco e a avaliação inicial de risco são algumas avaliações preliminares de risco.
- DESENVOLVIMENTO matricial da CIA – Desenvolvimento de matriz de confidencialidade, integridade e avaliação de disponibilidade.
Coleta de design e requisitos
Após a Iniciação, definir os requisitos e projetar a arquitetura do produto é a fase em que temos uma importante ativação de segurança a ser realizada. Porque aqui devemos definir as ameaças capturáveis e suas definições com a revisão para o processo existente. As ativações são,
- Modelagem de Ameaças – Processo estruturado de identificação de ameaças e vulnerabilidades à segurança e Definir Índice de cada um e priorizar as atividades para proteger o processo SDLC.
- Avaliação completa de riscos – Avaliação de Risco Completo e Formal que ajudará no processo de Modelagem de Ameaças.
- Garantia de segurança e requisitos funcionais – Definindo a especificação do produto em desenvolvimento e coletando a garantia e requisitos funcionais.
- Plano de Teste de Segurança – Estamos no mundo do Desenvolvimento Orientado por Testes (TTD) e, como é, precisamos planejar os testes de segurança também.
Desenvolvimento
No processo de Desenvolvimento, é importante realizar determinada atividade de segurança que vai ajudar a reduzir os riscos e vulnerabilidades. Além disso, é importante seguir certos Activates que ajudarão a automatizar o processo de Análise de Segurança com o CICD.
- Análise de Código Estático – Executando a Análise de Código antes do desenvolvimento para identificar a vulnerabilidade definida em fases anteriores.
- Adaptação de linha de base de segurança – Adotando os controles de segurança mínima para proteger o sistema e garantindo a matriz da CIA definida
Testes e Análise de Código
Como todos sabemos, o teste é um pilar importante do processo DevOps. Da mesma forma, para segurança, é uma fase importante que foram testando todas as Matriz coletadas e parâmetros que são necessários para serem testados se o produto desenvolvido está tendo padrão suficiente para mitigar as vulnerabilidades definidas.
- Revisão de Códigos – Revisão do Código Básico para identificar a potencial vulnerabilidade no código do peer.
- Análise dinâmica de códigos – Analisando o código executando o produto de software após desenvolvê-lo.
Implantação e Operação
Implantação e Monstrance Operacional é a fase final e importante do Ciclo de Vida do Desenvolvimento de Software. Além disso, esta fase está potencialmente expondo o produto Desenvolvido no mundo real onde podemos ter ameaças imprevistos. Assim, temos o seguinte processo para mitigar a segurança.
- Teste de penetração – Pen-Testing é o processo de teste do sistema, incluindo a rede, o aplicativo Web e o aplicativo principal para encontrar as vulnerabilidades
- Avaliação de Vulnerabilidades – Revisando o processo de vulnerabilidade de segurança relatando o estado de segurança do produto Software.
- Linha de base de segurança do monitor - Monitore continuamente o Metrix e os parâmetros definidos na Linha de Base de Segurança definida antes da Fase de Desenvolvimento.
Cada processo em cada fase não é apenas a teoria, cada processo será implementado com o conjunto de ferramentas e aplicação com o processo e estrutura definidos. Como parte deste Roteiro para DevSecOps, discutiremos todos os processos discutidos neste artigo em detalhes com exemplos e exercícios.
Conclusão
Este artigo é apenas a explicação do que é o ciclo de vida do desenvolvimento de software seguro e os Ativações e processos envolvidos em cada fase do SDLC. Em breve veremos artigos estruturados para que o roteiro se torne o especialista em DevSecOps. Em nosso próximo artigo, discutiremos mais sobre modelagem de maturidade de DevSecOps (DSOMM), Análise de Código no processo CICD, processo de Teste de Penetração Detalhada e muito mais. Fique ligado e assine o DigitalVarys para mais artigos e materiais de estudo sobre DevOps, Agile, DevSecOps e App Development.