AppSec管道与DevSecOps管道的区别

Question

在早期阶段实现安全是有意义的。Owasp提到通过AppSec管道实现。DevOps的人们谈论DevSecOps。查看实现的图表和阶段。看起来他们俩是一样的？但彼此之间却有些不同。

那什么是什么？

Answer 1

DevOpsSec CI/CD管道通常指具有自动缩放和Lambda功能的AWS环境，以及通过Terraform或CloudFormation提供的AWS环境。2017年的DevOps应该包括无代理功能，比如ServerSpec (和/或Test )。O‘’Reilly出版社的DevOpsSec书确实提到了其中的许多范例。这本书实际上准确地命名为DevOpsSec，而不是DevSecOps。

OWASP AppSec管道是不同的。它们不是严格意义上的CI/CD管道，而是一种自动化混合漏洞(因此也是软件弱点)分析的方法。平台Cigital就是这方面的一个典型例子，但许多公司都希望确保类似于2017年的appdev平台，如CodeDx、ThreadFix、SD元素或信号科学。在某些情况下，AppSec管道可以由CI/CD管道(即Jenkins)和插入其他开源项目的功能(如find-sec-bug和OWASP )组成。

真正的DevOps管道是一个具有自动测试和部署功能的CI/CD管道。例如，这需要集成ServerSpec、Packer (启动AMIs)和Jenkins -但是在使用ELB进行蓝色/绿色部署的同时，还需要具备执行AB测试的额外能力。AppSec管道从来都不是这样的竞争，我认为AppSec更难集成到这些环境中，特别是如果AppSec团队没有与DevOps团队进行有效的沟通的话。通信的第一步是通过自动缩放功能执行自动操作系统(和包，例如rpm/yum、dpkg/apt)更新。令人惊讶的是，同样的CI/CD和部署技术能够增强这些能力。

看到AppSec管道与DevOps管道完全集成的最后一部分是利用开始-停止Lambda云彩进行自动混合漏洞分析。