Доброго времени суток.
Решил написать статью про внедрение одной из самых современных практик продуктовой ИБ - DevSecOps.
Так как информации очень много, материал будет представлен в виде нескольких статей. Надеюсь информация будет полезна людям, которые выстраивают безопасную разработку у себя в компании.
О чем будет в статьях?
Начнем с определений и общей информации, что есть SDLC ( Software Development LifeCycle ) - Цикл Разработки Программного Обеспечения. Состоит он из 6-и пунктов:
SSDLC ( Secure Software Development LyfeCycle) - цикл разработки ПО с поправкой на безопасность на каждом этапе разработки ПО
DevSecOps - методология и техники по автоматизации этапов SSDLC и ускорению доставки готового продукта пользователю.
Если у вас налажен SDLC, каждый этап обязателен и каждый член команды выполняет свою роль в этих этапах. Все строго и по полочкам. То у вас на выходе уже получается отличный продукт, но вот его “доставка” до конечного пользователя занимает месяцы. Если SDLC нет, то в этом пункте мы будем подробнее рассматривать SDLC и что нужно для его внедрение.
Если SDLC внедрен, вы готовы для внедрения DevOps. На этом этапе вы автоматизируете каждый пункт, который раньше делался руками. Если у вас настроен четкий процесс разработки ПО, то тут не будет ничего сложного. Мы рассмотрим внедрение DevOps и как автоматизировать рутинные задачи. А так же про Infrastructure as a Code (IaC).
Настало время для внедрения DevSecOps! Еще нет. Для начала нужно внедрить SSDLC. Это надолго. Вам нужны специалисты, которые смогут обеспечивать безопасность на каждом этапе. В этом пункте мы пересмотрим SDLC, с поправкой на безопасность.
И вот тут долгожданное внедрение DevSecOps. Как и с DevOps, если у вас настроен процесс SSDLC, то проблем не возникнет. Достаточно будет автоматизировать уже существующие шаги.
Бонус: Ansible и немного Kubernetes.
В этой статье теория про SDLC.
Что такое SDLC думаю уже всем понятно, это то, что позволяет продуктам выходить за рамки пэт-проектов и доходить до конечного пользователя.
Рассмотрим каждый этап разработки и посмотрим что нужно для его внедрения.
Кто нужен:
Кто нужен:
Кто нужен:
Кто нужен:
Кто нужен:
Решил написать статью про внедрение одной из самых современных практик продуктовой ИБ - DevSecOps.
Так как информации очень много, материал будет представлен в виде нескольких статей. Надеюсь информация будет полезна людям, которые выстраивают безопасную разработку у себя в компании.
О чем будет в статьях?
Начнем с определений и общей информации, что есть SDLC ( Software Development LifeCycle ) - Цикл Разработки Программного Обеспечения. Состоит он из 6-и пунктов:
- Планирование
- Анализ требований
- Проектирование и дизайн
- Разработка ПО
- Тестирование
- Поддержка и сопровождение
SSDLC ( Secure Software Development LyfeCycle) - цикл разработки ПО с поправкой на безопасность на каждом этапе разработки ПО
DevSecOps - методология и техники по автоматизации этапов SSDLC и ускорению доставки готового продукта пользователю.
Если у вас налажен SDLC, каждый этап обязателен и каждый член команды выполняет свою роль в этих этапах. Все строго и по полочкам. То у вас на выходе уже получается отличный продукт, но вот его “доставка” до конечного пользователя занимает месяцы. Если SDLC нет, то в этом пункте мы будем подробнее рассматривать SDLC и что нужно для его внедрение.
Если SDLC внедрен, вы готовы для внедрения DevOps. На этом этапе вы автоматизируете каждый пункт, который раньше делался руками. Если у вас настроен четкий процесс разработки ПО, то тут не будет ничего сложного. Мы рассмотрим внедрение DevOps и как автоматизировать рутинные задачи. А так же про Infrastructure as a Code (IaC).
Настало время для внедрения DevSecOps! Еще нет. Для начала нужно внедрить SSDLC. Это надолго. Вам нужны специалисты, которые смогут обеспечивать безопасность на каждом этапе. В этом пункте мы пересмотрим SDLC, с поправкой на безопасность.
И вот тут долгожданное внедрение DevSecOps. Как и с DevOps, если у вас настроен процесс SSDLC, то проблем не возникнет. Достаточно будет автоматизировать уже существующие шаги.
Бонус: Ansible и немного Kubernetes.
В этой статье теория про SDLC.
Что такое SDLC думаю уже всем понятно, это то, что позволяет продуктам выходить за рамки пэт-проектов и доходить до конечного пользователя.
Рассмотрим каждый этап разработки и посмотрим что нужно для его внедрения.
Планирование
- определения проблем, целей и ресурсов (таких, как персонал и издержки);
- изучения возможностей альтернативных решений путем встреч с клиентами, поставщиками, консультантами и сотрудниками;
- изучения, как сделать ваш продукт лучше, чем у конкурентов.
- заказчик - должен сказать чего он хочет.
- руководитель проекта - должен сказать как это сделать
- бизнес-аналитик
Анализ требований
Ссылка скрыта от гостей
конечного пользователя системы - в чем его ожидания и как их осуществить. Кроме того, для проекта делается технико-экономическое обоснование, которое выясняет, является ли проект организационно, экономически, социально, технологически осуществимым. Очень важно поддерживать хороший уровень коммуникации с заказчиками, чтобы убедиться, что у вас есть ясное видение конечного продукта и его функций.Кто нужен:
- бизнес-аналитик
Проектирование и дизайн
Ссылка скрыта от гостей
, как логически, так и физически.Кто нужен:
- ИТ-архитектор - выбирает стек и продумывает взаимодействие элементов
- Дизайнер
- Системный аналитик
Разработка ПО
Кто нужен:
- Разработчик
Тестирование
Кто нужен:
- Тестировщик
- DevOps
Поддержка и сопровождение
Кто нужен:
- Специалист ТП
- Аналитик (чтобы написать инструкцию для ТП)
- Тестировщик, для проверки апдейтов
