Prakse DevSecOps (angl. Development, Security and Operations) dodatno razširijo prakse DevOps (angl. Development and Operations) z vpeljavo varnosti in vdelavo varnostnih mehanizmov v avtomatizirani postopek prevajanja kode ter objave aplikacije. Pri praksah DevOps je preverjanje varnosti pogosto zanemarjeno, saj je večji poudarek na čimhitrejšem razvojnem ciklu aplikacije. Pomemben cilj pri implementaciji praks DevSecOps je torej obdržati hitrost razvojnega cikla, ki so jo prinesle prakse DevOps, pri čemer pa dosežemo znatno povišan nivo varnosti. V našem delu smo se ukvarjali z implementacijo cevovoda DevSecOps, pri čemer smo začeli s preprostim cevovodom DevOps, ki nam je predstavljal izhodiščno točko. Namen izhodiščnega cevovoda je bilo prevajanje kode in objava zgrajene testne aplikacije na virtualni strežnik. Cevovod smo nadgradili z orodji za statično in dinamično testiranje aplikacije, po zgledu obstoječih del. Cevovod smo dodatno razširili z vpeljavo skript za razčlenitev rezultatov orodij, uporabo rezultatov za razvoj nastavljivih varovalk cevovoda, ter uporabo predpomnilnika sistema Azure za pohitritev časa obdelave. Dobljeni cevovod DevSecOps se izvede sorazmerno hitro in je sposoben zaznati varnostne pomanjkljivosti v testni aplikaciji.
|