IBM Cloud Docs
DevSecOps avec Continuous Delivery

DevSecOps avec Continuous Delivery

DevSecOps est une évolution de l'Agile et de l' DevOps,, qui intègre les meilleures pratiques de développement sécurisé le plus tôt possible dans le cycle de vie de livraison des logiciels (également connu sous le nom de « shift left »). Cette approche vise à éviter que les problèmes de sécurité n'affectent les systèmes de production et fassent échouer les audits d'entreprise.

DevSecOpsMéthodologie qui intègre les pratiques de sécurité au développement logiciel et au cycle de vie des opérations. L'objectif de la fusion est de prioriser l'équilibre entre la vitesse de développement et la sécurité. nécessite l'automatisation des contrôles de sécurité et de conformité dans le cadre des processus d'intégration et de livraison continues. Des preuves de ces contrôles sont également recueillies pour démontrer aux auditeurs que chaque changement indiqué dans l'historique est conforme.

Continuous Delivery, qui répond aux exigences du secteur des services financiers, fournit une mise en œuvre de référence des contrôles de gestion de la configuration du NIST sous forme de service. Ce dernier peut être configuré en quelques clics à l'aide de modèles.

DevSecOps utilise Continuous DeliveryGit Repos and Issue Tracking, Tekton Pipelines, DevOps Insights, et Code Risk Analyzer), Secrets Manager, Key Protect, Cloud Object Storage, Container Registry et Vulnerability Advisor. DevSecOps utilise également des outils d'analyse populaires tels que SonarQube, Gosec, OWASP Zap (analyse dynamique), n'importe quel cadre de test unitaire et la signature GPG. Il peut également être utilisé avec d'autres outils tels que des fournisseurs Git externes et des magasins d'artefacts. DevSecOps prend en charge des déploiements hybrides, en utilisant notamment des agents de pipeline privés, et peut communiquer avec d'autres outils de déploiement tels que Satellite Config et ArgoCD.

Comment fonctionne l' DevSecOps?

Agile et DevOps contribuent à automatiser et à augmenter la vitesse de développement, la qualité des logiciels, la cohérence et la fiabilité des processus de distribution tout éliminant les risques d'erreur humaine. DevSecOps intègre un ensemble de contrôles de sécurité et de conformité dans les processus DevOps. Cette fonctionnalité permet aux organisations de livrer rapidement et souvent tout en maintenant une position de sécurité forte et un état continu de préparation aux audits.

Comme Agile et DevOps, DevSecOps représente un changement culturel et supprime les barrières qui séparent traditionnellement les équipes chargées du développement, de l'exploitation, et de la sécurité et conformité. Les équipes de développement s'impliquent davantage dans la sécurité au lieu de s'en remettre à des équipes externes pour évaluer la sécurité de leurs logiciels, souvent à un stade avancé du cycle de développement, lorsque les vulnérabilités détectées ont déjà causé des perturbations et sont difficiles à corriger. L'ancien modèle reposant sur une équipe de sécurité cloisonnée n'est pas adapté et ne répond pas aux besoins d'un projet de développement dans un domaine DevOps natif. Avec DevSecOps, le rôle d'une équipe de sécurité est davantage orienté vers le support, le conseil et la gouvernance.

Pourquoi devrais-je utiliser DevSecOps?

Avec DevSecOps, les développeurs peuvent continuer à distribuer des mises à jour fréquemment avec un minimum de friction. L'intégration d'analyses et de contrôles de sécurité automatisés dans les pipelines DevOps renforce la fiabilité avec l'introduction de preuves dans le processus de gestion des changements. Cette intégration prend également en charge les approbations automatisées des nouveaux déploiements dans l'environnement de production lorsque tous les critères de sécurité sont remplis et que les contrôles spécifiques sont satisfaisants. L'introduction de la sécurité et de la conformité à un stade précoce du processus de développement et de déploiement réduit les coûts et le risque en identifiant rapidement les problèmes avant que le logiciel ne soit transféré dans un environnement de production. Cette approche est souvent appelée "intégration de la sécurité en amont". De plus, même si les meilleures pratiques en matière de sécurité font partie de la formation au sein de chaque organisation, une expérience approfondie dans ce domaine peut faire défaut aux développeurs. La mise en oeuvre de DevSecOps et de l'intégration de la sécurité en amont dans le cycle de vie de distribution réduit le risque d'introduire des vulnérabilités connues dans l'environnement de production.

Normalisation au sein des organisations

Les organisations peuvent tirer parti des avantages considérables de l'utilisation d'un ensemble standard de processus pour l'intégration et la distribution continues par des équipes disparates qui développent des offres et des composants hétérogènes. Ces avantages incluent la cohérence et les économies d'échelle. Lorsqu'un ensemble unique de pipelines de référence à caractère normatif, visant à garantir la conformité, est utilisé pour tous les composants d'une organisation, les développeurs passent moins de temps à développer des solutions d'automatisation et peuvent se concentrer sur le développement des fonctionnalités. Les responsables du développement et de la sécurité peuvent être certains que les contrôles nécessaires sont effectués pour garantir la sécurité et la conformité des logiciels et fournir des preuves pouvant être utilisées lors d'un audit. Les audits de sécurité pratiqués au sein d'une organisation peuvent être rationalisés lorsque la conformité est implémentée de manière standardisée et non spécifique à chaque composant ou équipe de développement d'offre.

Prêt à intégrer DevSecOps? Consultez notre série de tutoriels qui vous guide dans le déploiement d'une application sécurisée avec les meilleures pratiques DevSecOps. Vous pouvez également en savoir plus sur les avantages de DevSecOps et les solutions connexes.