Sự phát triển của DevOps và ảnh hưởng của nó đến bảo mật trong phát triển phần mềm

Nguyễn Thùy Linh, Nguyễn Tất Hưng| 18/04/2019 15:58
Theo dõi ICTVietnam trên

Trước tiên chúng ta hãy cùng tìm hiểu về DevOps. DevOps là sự kết hợp của "software DEVelopment" và "information technology OPerationS", được sử dụng để chỉ các thực hành trong đó tập trung vào sự hợp tác, trao đổi thông tin và tích hợp giữa phát triển phần mềm và các hoạt động CNTT, giúp cho phát triển và cải tiến sản phẩm diễn ra ở nhịp độ nhanh hơn so với các tổ chức sử dụng những quy trình quản lý cơ sở hạ tầng và phát triển phần mềm truyền thống.

Kết quả hình ảnh cho The Growth of DevOps and How It Affects Security in Software Development

Điều này sẽ cho phép các tổ chức phục vụ khách hàng tốt hơn và cạnh tranh hiệu quả hơn trên thị trường

DZone đã hợp tác với mable, một dịch vụ kiểm tra học máy tự động, để cho thấy tự động kiểm tra bảo mật và QA (Quality Assurance- Đảm bảo toàn bộ hoạt động có kế hoạch và hệ thống, được tiến hành trong quản lý chất lượng và được chứng minh là đủ mức cần thiết để tạo sự tin tưởng thỏa đáng rằng sản phẩm hay dịch vụ của tổ chức sẽ đáp ứng các yêu cầu về chất lượng) giúp các nhóm duy trì các thực hành tích hợp và phát triển liên tục (Continuous Integration/Continuous Development- CI/CD) như thế nào. Bài viết này đi sâu vào cách bảo mật tự động mở rộng quy mô với các thực tiễn DevOps.

Việc áp dụng phát triển DevOps và tính linh hoạt đã cho phép các sản phẩm đi vào thị trường nhanh hơn, đáp ứng kịp thời nhu cầu kinh doanh và khách hàng. Một phần của điều này là việc triển khai tự động hóa để đẩy nhanh các quá trình có tính lặp lại và thu thập dữ liệu để học hỏi dễ dàng hơn, đem lại nhiều cải tiến. Trong một thế giới lý tưởng, mô hình này cũng sẽ cho phép các sản phẩm chất lượng cao được tung ra thị trường một cách nhanh chóng mà không có lỗi và lỗ hổng bảo mật theo cách tiết kiệm chi phí.

Trong thực tế, các tổ chức thường tập trung vào việc tiếp cận thị trường nhanh chóng và đáp ứng nhu cầu kinh doanh hơn là trải nghiệm người dùng mượt mà và an toàn. Khi các công ty đang cạnh tranh về mặt tốc độ thay vì chi phí, thử nghiệm bảo mật sẽ tham gia vào chu kỳ sản xuất sản phẩm như thế nào? Hãy tự động hóa nó!

Dưới đây là các cách tự động hóa bảo mật ứng dụng mở rộng với CI/CD.

Tự động kiểm tra bảo mật trong suốt quá trình CI/CD

Các công ty sẽ bị tấn công bởi tin tặc cho dù họ có nhận biết được điều đó hay không. Trung bình, một hacker có thể ẩn nấp trong hệ thống mà không bị phát hiện trong khoảng 205 ngày. Sau khi xâm nhập thành công, tin tặc chạy các scripts và tự động hóa các cuộc tấn công để thực hiện mọi việc ở quy mô lớn. Ví dụ, tiêm SQL có thể dễ dàng được thực hiện một cách tự động. Không công ty nào có thể có đủ nhân lực để ngăn chặn quy mô và tốc độ của những cuộc tấn công tự động đến từ nhiều tác nhân độc hại khác nhau và đó là lý do tại sao sử dụng máy quét tự động là một cách để liên tục quét mã của bạn và xác định lỗ hổng trước khi chúng bị khai thác bởi tin tặc.

Ví dụ về máy quét tự động có thể là SAST (Static Application Security Testing - Kiểm tra bảo mật ứng dụng tĩnh) hoặc DAST (Dynamic Application Security Testing - Kiểm tra bảo mật ứng dụng động). Hai phương pháp này có thể kiểm tra các lỗ hổng mã trong các giai đoạn phát triển khác nhau và ngay cả sau khi ứng dụng được phát hành, cung cấp cho nhóm bảo mật và nhà phát triển phản hồi tức thì về tính toàn vẹn của mã. Cho dù bạn triển khai 100 lần một ngày hay ít hơn, kiểm tra bảo mật và các cải tiến sẽ được lên lịch như một phần của quy trình CI / CD để theo kịp các bản phát hành bảo mật.

Tính nhất quán và hiệu quả

Tự động hóa cho phép bạn kiểm soát tốt hơn cách các quy trình được chạy khi bạn lập trình máy móc hoặc công nghệ vận hành theo một cách cụ thể và tự động hóa sẽ triển khai nó một cách chính xác. Điều này có nghĩa là sản lượng đầu ra cao với sự nhất quán và tỷ lệ lỗi thấp ở mức lý tưởng. Kiểm tra bảo mật và QA cũng có thể được lên lịch hoặc lập trình để hoàn thành ngay khi một mã mới được đẩy vào, loại bỏ việc bảo mật hoặc QA trở thành một tác nhân gây tắc nghẽn quá trình sản xuất và các sản phẩm được ra mắt với tỷ lệ lỗi thấp hơn. Bất kỳ mã hoặc ứng dụng mới nào được phát hành sẽ luôn được kiểm tra bất cứ khi nào việc đó có ý nghĩa nhất trong chu kỳ phát triển của bạn. Kiểm toán bảo mật trở thành một phần của quy trình làm việc thay vì chỉ khi ai đó có thời gian làm việc đó hoặc khi phải đối mặt với tình huống khẩn cấp liên quan đến vi phạm dữ liệu và chạy các kế hoạch ứng cứu sự cố.

Nâng cao sự tự tin và kỹ năng mã hóa

Khảo sát này cho thấy 87% các nhà phát triển không tự tin vào mã của riêng họ. Như đã đề cập, đánh giá mã của hơn 1000 dòng lệnh là một nhiệm vụ tẻ nhạt và đó có thể là lý do tại sao các lỗ hổng và lỗi có thể không bao giờ được loại bỏ hoàn toàn. Các công cụ tự động dễ dàng và nhanh chóng kiểm tra mã ngay lập tức giúp các nhà phát triển an tâm thay vì để trải nghiệm người dùng bị hỏng hoặc tệ hơn, một cuộc tấn công của hacker có cơ hội xảy ra

Khi sử dụng một công cụ tự động hóa bảo mật như Detectify, người dùng sẽ được phản hồi về nơi tồn tại lỗ hổng trong mã cũng như các mẹo khắc phục với các đoạn mã mẫu để khuyến khích học hỏi trong công việc và nâng cao hiểu biết về bảo mật. Điều này giúp loại bỏ các rào cản trong việc tìm hiểu thêm về mã hóa bảo mật, thậm chí thời gian quay vòng sửa lỗi sẽ nhanh hơn. Các nhà phát triển cũng có thể bắt đầu tin tưởng hơn vào mã của mình khi biết rằng có một trình “kiểm tra chính tả” rà soát lại mã của họ trước và sau khi triển khai.

Bảo mật có thể mở rộng với sự phát triển

Khi phát triển phần mềm mở rộng quy mô trong một công ty, bảo mật không phải là một yếu tố làm chậm quá trình hoặc bị bỏ lại phía sau. Giống như nhiều thành phần khác, nó có thể được tự động để trở thành một phần của đường dẫn CI/ CD. Điều này sau đó có thể cho phép các nhà phát triển viết mã ổn định hơn và cải thiện sự tự tin của họ, đem đến hiệu suất tốt hơn và các sản phẩm được phát hành nhanh hơn.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • Hai nền tảng số MISA được công nhận là sản phẩm Thương hiệu quốc gia Việt Nam 2024
    Vượt qua hơn 1.000 hồ sơ và nhiều vòng thẩm định khắt khe, MISA có hai nền tảng số đạt danh hiệu Thương hiệu quốc gia Việt Nam 2024.
  • Sản phẩm, dịch vụ của VinaPhone được công nhận là Thương hiệu Quốc gia
    Tại lễ công bố sản phẩm đạt Thương hiệu Quốc gia Việt Nam năm 2024 do Bộ Công Thương tổ chức, sản phẩm, dịch vụ VinaPhone 5G, Truyền hình MyTV, chứng thực ký số công cộng (VNPT CA)... của VNPT VinaPhone đã được công nhận là Thương hiệu Quốc gia 2024.
  • Sắp diễn ra Lễ hội văn hoá ẩm thực Hà Nội năm 2024
    UBND TP. Hà Nội vừa ban hành Kế hoạch số 313/KH-UBND về việc tổ chức Lễ hội văn hóa ẩm thực Hà Nội năm 2024 (The HaNoi Culinary Culture Festival 2024) với chủ đề "Hà Nội kết nối năm châu".
  • GHTK được vinh danh Thương hiệu Quốc gia Việt Nam lần thứ hai
    Công ty CP Giao hàng Tiết Kiệm tự hào là một trong 190 doanh nghiệp tiêu biểu, đạt danh hiệu Thương hiệu Quốc gia Việt Nam năm 2024 trong số hơn 1.000 doanh nghiệp đăng ký.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • MobiFone được vinh danh Thương hiệu quốc gia Việt Nam 2024
    Tại Lễ công bố sản phẩm đạt Thương hiệu quốc gia Việt Nam năm 2024 tối 4/11, MobiFone xuất sắc được vinh danh tại sự kiện với 5 thương hiệu sản phẩm đột phá bao gồm: Dịch vụ viễn thông MobiFone, mobiEdu, ClipTV, mobiAgri và nền tảng số MobiFone.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
  • Zalo giữ vững ngôi đầu nền tảng nhắn tin được yêu thích nhất
    Ngày 5/11, theo báo cáo “The Connected Consumer Q.III/2024” mới nhất do Decision Lab công bố, Zalo tiếp tục dẫn đầu các nền tảng nhắn tin tại Việt Nam về tỷ lệ sử dụng (renetration rate) và mức độ yêu thích (preference rate).
Sự phát triển của DevOps và ảnh hưởng của nó đến bảo mật trong phát triển phần mềm
POWERED BY ONECMS - A PRODUCT OF NEKO