Geliştirme (Dev), Güvenlik (SEC) ve operasyonları (OPS) geliştirme yaşam döngüsü boyunca yerleştirmek için geliştirme (dev), güvenlik (SEC) ve operasyonları entegre eden devsecops hakkında düşünceleri ve yaklaşımları paylaşmak.
Devsecops nedir?
DevSecops, DevOps hızını korurken güvenliği tüm geliştirme döngüsü boyunca entegre eden bir kültür ve metodolojidir. Kırmızı bir ekip olarak, en ideal senaryo, başlangıçtan itibaren güvenli bir şekilde inşa edilmiş bir hizmettir ve sömürülecek güvenlik açıkları yoktur. DevSecops bunu başarmak için pratik bir çözüm sunar.
Geçmişte, gelişme tamamlandıktan sonra güvenlik genellikle uygulandı ve bitmiş bir binada duvarların yıkılmasına benzer verimsizlikler yarattı. Devsecops bu sorunu ‘Sol Sol’ konsepti ile çözer ve güvenlik faaliyetlerini gelişimin önceki aşamalarına taşır.
graph TD
A[Plan] --> B(Code);
B --> C{Build};
C --> D[Test];
D --> E(Release);
E --> F[Deploy];
F --> G(Operate);
G --> H{Monitor};
H --> A;
subgraph Security in All Phases
direction LR
S1[Threat Modeling] -- in --> A;
S2[SAST / SCA] -- in --> B;
S3[SAST] -- in --> C;
S4[DAST / IAST] -- in --> D;
S5[Config Scan] -- in --> F;
S6[Runtime Security] -- in --> G;
end
Anahtar, planlama aşamasında tehdit modellemeden SAST’a ve test sırasında DASS’a kadar güvenliği otomatikleştirmek ve entegre etmektir.
Neden Devsecops?
Hız özüdür. Günde birden fazla dağıtım ile CI/CD ortamlarında, geliştirme tamamlandıktan sonra yapılan güvenlik darboğaz haline gelir. Devsecops güvenlik doğrulamasını otomatikleştirir ve güvenlik sağlarken geliştirme hızını koruyarak boru hattına entegre eder. Her SDLC aşamasında uygulanabilecek güvenlik faaliyetleri ve araçlara örnekler:
- Tasarım: Tehdit Modelleme (örn., Owasp Tehdit Ejderhası)
- Geliştirmek: Gerçek zamanlı IDE taraması (örn. Sonarlint)
- İnşa etmek: SAST (Statik Analiz), SCA (Açık Kaynak Analiz) (örn., Sonarqube, bağımlılık kontrolü)
- Test: Dast (dinamik analiz) (örneğin, OWASP ZAP)
- Dağıtmak: IAC ve Container Görüntü Taraması (örn., Trivy, TFSEC)
Olgunluk nasıl ölçülür?
Devsecops uyguladıktan sonra, olgunluğu ölçmek ve sürekli iyileştirmek esastır. OWASP Devsecops Doğrulama Standardı (DSOV) bu amaç için yararlı bir çerçeve sağlar.
DSOV’lar, organizasyon, tasarım ve uygulama gibi çeşitli alanlarda belirli olgunluk değerlendirme kriterleri sunar, mevcut seviyelerin teşhis edilmesine ve tasarım iyileştirme yol haritalarının teşhis edilmesine yardımcı olur. Örneğin, şu öğeleri kontrol edebilirsiniz:
- Tüm ekip üyeleri düzenli güvenlik eğitimi alıyor mu? (ORG-002)
- Güvenlik gereksinimleri özellik geliştirme sırasında tanımlanmış ve izleniyor mu? (REQ-002)
- Mimari değişiklikler sırasında tehdit modellemesi gerçekleştiriliyor mu? (DES-002)
- Güvenlik taramaları CI/CD boru hattında otomatik mi? (IMP-003)
- Penetrasyon testleri düzenli olarak mı yapıldı? (VER-002)
Kaynaklar
Kişisel referans için çeşitli ilgili materyalleri organize etmek ve yönetmek için Hahwul/Devsecops projesini koruyorum.
Çözüm
Devsecops’un başarısı, takımın benimsenmesinin ötesine geçer; Kültürel değişime bağlıdır. Güvenlik, sadece belirli bir ekibin işi değil, ürünü yaratan herkesin ortak bir sorumluluğu haline geldiğinde ortaya çıkar.
Kırmızı bir ekibin saldırgan perspektifi ve Devsecops’un savunma yaklaşımı sonuçta aynı hedefe yaklaşıyor: güvenli hizmetler yaratmak. Umarım bu makale devsecops yolculuğunuza başlamak için küçük bir yardım sağlar.