Liste de contrôle de sécurité DevSecOps

Voici une liste de contrôle de sécurité en dix étapes DevSecOps qui peut aider les équipes à être sur la même longueur d'onde.

Comprenez où la sécurité crée des défis dans le processus de développement

Notre enquête Global DevSecOps 2022 montre que le fossé entre les développeurs et les équipes en charge de la sécurité se referme, sans que les frictions cessent totalement. 57 % des participants à l'enquête ont convenu que la sécurité était une mesure de performance pour les développeurs de leur entreprise, mais 56 % ont déclaré qu'il était difficile de convaincre les développeurs de donner la priorité à la correction des vulnérabilités du code. En fin de compte, 59 % ont déclaré que l'équipe de sécurité était plus susceptible de détecter les vulnérabilités de sécurité après la fusion du code dans un environnement de test. L'équipe responsable de la sécurité ne fait pas consensus : 43 % des professionnels de la sécurité se sont désignés, mais 53 % ont dit que c'était l'affaire de tous. En résumé : il n'y a rien de clair. La première étape devrait être de comprendre le principal défi de votre pipeline DevSecOps.

Alignez tout le monde sur un objectif commun

Lorsque chacun a sa propre idée sur la sécurité et la propriété, fournissez à l'équipe des objectifs clairs pour orienter leur travail. Imposer la sécurité dans le cycle de vie du logiciel n'aidera personne si votre équipe ne comprend pas ses responsabilités et les attentes. Par exemple, définir l'augmentation des tests du code comme objectif pourrait se traduire par des releases plus rapides une fois la mise en place effectuée. De même, l'établissement d'un objectif d'amélioration de la planification en faisant appel à un champion de la sécurité dès le début signifie que la sécurité est intégrée à chaque étape du processus, ce qui réduit les frictions et, en fin de compte, accélère les cycles de release. Une pratique DevSecOps réussie favorise la responsabilisation, même parmi les membres de l'équipe qui ne sont pas en charge de la sécurité, car elle crée une culture où tout le monde est responsable de la réduction des risques de sécurité.

Effectuez un audit pour identifier où les équipes perdent du temps

Sans DevSecOps, les équipes de sécurité identifient les vulnérabilités de sécurité à l'aide de leurs propres outils, généralement à la fin d'un cycle de développement. Le code est ensuite renvoyé à l'équipe de développement pour y remédier. Ce va-et-vient met les deux équipes dans un état de friction constant et les communications inefficaces leur font perdre du temps. En comprenant combien de temps votre équipe perd à traiter les vulnérabilités après la fusion du code, vous pourriez être en mesure d'identifier les tendances et d'apporter des ajustements dans un objectif d'amélioration. Par exemple, les équipes de sécurité ont-elles du mal à suivre le statut de remédiation des vulnérabilités critiques ? Dans ce cas, elles doivent constamment consulter l'équipe de développement pour rester au courant. Vous pourriez avoir besoin d'un tableau de bord unique où les développeurs et les professionnels de la sécurité peuvent voir le statut de la remédiation des vulnérabilités critiques de sécurité.

Discutez des points de friction et des goulots d'étranglement

La sécurité peut être un goulot d'étranglement pour la publication rapide des logiciels. Le sujet est toutefois beaucoup trop important pour être minimisé ou ignoré. DevSecOps promet de faire progresser la sécurité dans le cycle du développement logiciel, mais cette démarche nécessite un effort. Une étape importante consiste à réunir tout le monde (les équipes de développement, de sécurité et des opérations) pour qu'elles discutent honnêtement des points de friction et des goulots d'étranglement liés à la sécurité. Une fois que tout a été dit, créez un plan pour résoudre chaque problème, puis mettez-le en exécution. Cette discussion permet à chacun de s'exprimer et identifie les points de friction qui pourraient ne pas ressortir des données factuelles et objectives.

Apportez de petites modifications incrémentielles au code

L'itération est une des valeurs fondamentales de GitLab. Par conséquent, lorsque nous apportons des modifications, nous effectuons de minuscules itérations rapides, puis nous continuons à avancer. Le même principe s'applique au passage de DevOps à DevSecOps. Les modifications incrémentielles limitées du code sont plus faciles à examiner et à sécuriser. Elles peuvent aussi être lancées plus rapidement que les modifications monolithiques. La production de code en petits segments ou en petites unités, puis l'exécution de tests automatisés sur ces unités à mesure qu'elles sont validées, permettent aux développeurs de remédier à toute vulnérabilité immédiatement, plutôt que d'attendre des jours, des semaines ou même des mois. L'exécution de tests réguliers permet de ne pas perdre de temps à un stade ultérieur, lorsque l'application terminée est testée avant d'être poussée en production.

Automatisation et intégration

L'automatisation et l'intégration sont des éléments DevOps essentiels, mais elles font également des analyses de sécurité un outil puissant. Lorsque les scans sont omniprésents, chaque modification de code est examinée et les vulnérabilités sont détectées beaucoup plus tôt dans le processus. Les scans doivent être intégrés dans le workflow des développeurs. La sécurité intégrée leur permet de repérer et de corriger les vulnérabilités avant même que le code ne passe à l'étape suivante. Le volume de problèmes de sécurité envoyés à l'équipe de sécurité se trouve ainsi réduit, ce qui simplifie leur vérification.

Donnez aux développeurs l'accès aux résultats des rapports de sécurité

Plutôt que de limiter les résultats des tests statiques de sécurité des applications (SAST) et des tests dynamiques de sécurité des applications (DAST) aux équipes de sécurité, assurez-vous que ces informations sont partagées au sein de l'équipe, en particulier avec les développeurs. Cet outil est non seulement important pour la remédiation, il aide également les développeurs à intégrer les contrôles de sécurité nécessaires dans le cycle du développement logiciel.

Effectuez un audit des processus de sécurité de type « cascade »

Dans l'approche traditionnelle en cascade de la sécurité, les vulnérabilités sont généralement détectées à la fin du cycle de développement. Prenez le temps de mener un audit sur les workflows de sécurité existants tout au long du cycle de développement logiciel. Si vous trouvez des processus de type « cascade» , envisagez d'éliminer ou du moins de réduire considérablement votre dépendance à leur égard. Vous devriez toujours être en mesure de changer de cap en fonction des besoins : maintenez les processus Agile de votre entreprise.

Assurez-vous que l'équipe de sécurité a une visibilité sur le statut des vulnérabilités

L'enquête Global DevSecOps 2022 a révélé que le plus grand défi auquel étaient confrontés les professionnels de la sécurité est de donner la priorité à la remédiation des vulnérabilités. Parmi les autres préoccupations mentionnées, citons le volume de faux positifs et la difficulté à suivre le statut des vulnérabilités. Il pourrait s'agir de l'un des facteurs à l'origine des perspectives quelque peu négatives des professionnels de la sécurité sur l'avenir : seulement 56 % ont déclaré se sentir « un peu » ou « très préparés » pour l'avenir (près de 20 points de moins que la réponse moyenne donnée par les équipes de développement et des opérations). Il est clair que les équipes de sécurité ont besoin d'une meilleure visibilité sur les vulnérabilités résolues et non résolues, ainsi que sur leur emplacement, leur auteur et leur statut de remédiation.

Simplifiez vos outils en adoptant une seule plateforme DevOps

Les équipes ne peuvent pas partager la responsabilité de la sécurité lorsqu'elles ne disposent pas des bons outils. La meilleure façon d'intégrer la sécurité en amont est d'utiliser une plateforme de bout en bout qui aide les équipes DevOps à s'éloigner des processus de type « cascade », rationalise la communication, inclut l'automatisation et l'intégration continue, et fournit une source unique de vérité pour les résultats des scans de sécurité et le statut des vulnérabilités critiques de sécurité.