Na ceste k DevSecOps: trojnásobný prospech z automatizácie pri testovaní aplikačnej bezpečnosti

Väčšina organizácií, ktoré sa nachádzajú vo fáze prechodu na DevOps, si uvedomuje, že pri tejto novej metodike vývoja softvéru ide hlavne o zmenu celkového myslenia, zlepšenie vnútorných procesov a také používanie vývojových nástrojov, ktoré umožňujú produkovať kvalitný softvér bezpečne a zároveň rýchlo. DevSecOps organizáciám uľahčuje dodanie softvéru zákazníkom rýchlejšie, s väčšiou kvalitou a konkurencieschopnosťou.

Pokiaľ ide o samotné vývojové nástroje, DevOps je aj o automatizácií rôznych používaných nástrojov, ktorá urýchľuje dodanie softvéru. Navrhnutý primárne pre tých, ktorí sa vydali cestou DevOps, produkt Checkmarx-u s názvom CxFlow integruje bezpečnosť do už existujúcich nástrojov tak, aby si bezpečný vývoj softvéru nevyžadoval dodatočné nástroje. S využitím už existujúcich nástrojov pôsobí CxFlow nenápadne na pozadí existujúcich postupov. Checkmarx CxFlow je teda o plnej automatizácii bezpečného testovania aplikácií (AST, Application Security Testing) pri procesoch, ktoré sa v organizácii už používajú. Produkt bol vyvinutý s primárnym cieľom AST, ale je v ňom oveľa viac, ako by sa na prvý pohľad zdalo. Nižšie predstavujeme zoznam troch hlavných výhod pre organizácie, ktoré sa rozhodnú CxFlow využívať spolu s už nasadenými CxSAST a CxSCA nástrojmi od Checkmarx. Pozrime sa teda trochu bližšie, o čom CxFlow vlastne je.


#1 Posúvanie bezpečnosti čo najviac doľava v bezpečnom vývojovom cykle systémov (SDLC)

Dostupné riešenia na trhu na bezpečné testovanie aplikácií (AST) tradične spolupracujú s používanými CI nástrojmi (CI - Continuous Integration, kontinuálna integrácia) a scany zdrojového kódu sa bežne vykonávajú až po realizovaní merge-ov a buil-dov, ktoré sa nachádzajú, obrazne povedané, viac vpravo v SDLC procese. Avšak CxFlow umožňuje organizáciám posúvať toto testovanie viac doľava, pretože CxFlow v dnešnom svete moderných vývojových prostrední predstavuje inštrumentačnú vrstvu, ktorá zjednodušuje nasadzovanie a automatizáciu AST. Využívanie CI pluginov na spúšťanie AST scanov, ako sú Jenkins, CircleCI, Travis CI, Bamboo, TeamCity atď, je pritom stále podporované a dokonca odporúčané, ale teraz, vďaka CxFlow, je možné tieto scany integrovať a spúšťať aj priamo z nástrojov na správu zdrojového kódu. CxFlow sa nenásilne integruje do manažovacích nástrojov pre agilný vývoj ako sú GitHub, GitLab, BitBucket, Azure DevOp atď., a umožňuje plne automatizované scanovanie aplikácií a doručovanie ihneď použiteľných výstupov samotným programátorom. Navyše, CxFlow sa priamo integruje do nástrojov na sledovanie chýb/defektov ako sú Jira, Rally Software, ServiceNow, SonarQube atď. Tým sa eliminujú dlhotrvajúce ručné scany zdrojového kódu a programátori majú možnosť publikovať a aktualizovať stav chýb detegovaných stanovenou bezpečnostnou politikou scanujúceho nástroja priamo do systémov na správu kódu tak, aby vývojové tímy stihli včas reagovať.


#2 Kompletná automatizácia, od scanu po tickety

Využívajúc unikátne schopnosti Checkmarx pri scanovaní neskompilovaného kódu, CxFlow automatizuje kroky potrebné na scanovanie zdrojového kódu v skorších fázach SDLC. Tým sa odstraňuje časovo-náročná, ručná konfigurácia scanov a programátori majú možnosť sami identifikovať a aktualizovať chýby v kóde v rámci predkonfigurovanej politiky. Po počiatočnej konfigurácii sa scanovacie aktivity počas AST vykonajú automaticky bez akéhokoľvek zásahu človeka, stačí len bežný pull-request vývojára. Pomocou CxFlow, po vykonaní pull requestu v používanom systéme na správu zdrojového kódu, dostane vývojár nielen notifikáciu zo scan procesu v podobe poznámok, ktoré sa týkajú nielen funkcionality ale aj bezpečnosti, pretože CxFlow sa integruje do vývojových IDE prostredí a nástrojov na riadenie zdrojového kódu. Týmto spôsobom je zdrojový kód okamžite skontrolovaný na všetky chyby a vývojár môže uzavrieť cyklus pri správe ticketov, zatiaľ čo má zdrojový kód stále, tak povediac, “napamäti”. To umožňuje vývojárom: • identifikovať a opravovať chyby a zraniteľnosti v kóde už vo fáze programovania (najskoršia fáza vývoja),

• pracovať ako doteraz bez akýkoľvek vyrušení, bez nutnosti učiť sa pracovať s novými nástrojmi, bez potreby prestávok na tradičné bezpečnostné analýzy,
• pristupovať k bezpečnostnými chybám rovnako ako k funkčným chybám a tým sa im aj skôr venovať v relevantných verziách zdrojového kódu, na ktorých práve pracujú,
• znižovať časovú náročnosť pri manuálnom zakladaní, validovaní a uzatváraní bezpečnostných ticketov bez nutnosti tráviť nespočetné hodiny v ticketovacích
systémoch.


#3 Odstránenie trecích plôch medzi vývojármi a DevOps/AppSec tímami

CxFlow eliminuje manuálnu a časovo-náročnú konfigurácia pre každý projekt na scanovanie zdrojového kódu v rámci DevOps, čím zanikajú spory medzi vývojármi a
DevOps tímami, ktoré požadujú do CI procesov zaraďovať aj analýzu zdrojového kódu. Pridávanie fázy so statickou analýzou zdrojového kódu sa s klasickými CI procesmi veľmi nezlučuje. Dnes CxFlow:

• zjednodušuje životný cyklus SAST pomocou automatizovanej integrácie s už existujúcimi nástrojmi, používajúc prístup počúvania web aplikácií, teda načúvaním udalostí z úložiska zdrojového kódu a samospúšťaním scanovacích činností pri zaregistrovanom pohybe kódu v repozitári,
• nezaťažuje vývojárov potrebou učiť sa produkty ako CxSAST alebo CxSCA, pretože automaticky dostávajú správy s poznámkami o chybách v kóde priamo z repozitárov, nie z nasadzovaných AST procesov,
• vychádza priamo z princípov chránených vetiev repozitárov zdrojového kódu, kedy sa konfigurujú zvlásť vetvy pre master, vývoj a bezpečnosť. To znamená, že pohyb z a do repozitára (pull a push requesty) automaticky spúšťa scany a produkuje výsledky pri akejkoľvek zmene v zdrojovom kóde,
• znižuje TCO (Total Cost of Ownership) a zlepšuje ROI (Return of Investment) nástrojov na scanovanie zdrojového kódu tým, že sa snižuje potreba spravovať a urdržovať viaceré CI pluginy, ktoré treba neustále inštalovať, aktualizovať atď.


Záver

CxFlow zjednodušuje konfiguráciu a inštrumentáciu medzi vývojovými prostriediami a Checkmarx Software Security Platform pri automatizácii AST. Organizácie takto môžu okamžite zapojiť svoje vývojové, bezpečnostné a prevádzkové tímy a zefektívniť uplatňovanie svojich bezpečnostných politík a DevSecOps procesov. Tradiční poskytovatelia AST riešení na vývojárov veľmi nemyslia, pretože bez možnosti priamo scanovať zdrojový kód, tradiční hráči nemôžu účinne využívať nástroje na správu kódu podobné Checkmarx. Je jasné, že integrácia je pri automatizácii kľúčová a CxFlow dovoľuje urobiť posun bezpečnosti v životnom cykle vývoja systémov čo najviac doľava (t.j. aby sa riešila čo najskôr) a tým zmeniť spôsob, ako sa AST riešenia integrujú do všetkých DevOps prostredí.

Prihláste sa na Medzinárodný kongres ITAPA 2020
Páčil sa ti článok? Zdieľaj ho a povedz o ňom aj ostatným