أدوات DevSecOps DevSecOps

أدوات أدوات DevSecOps للتجارة
في المنشور السابق، استعرضنا في المنشور السابق المراحل المختلفة من خط أنابيب DevSecOps، وألقينا نظرة على الضوابط الأمنية المقدمة في كل مرحلة، وضرورتها، والمخاوف الأمنية التي تعالجها.
سيتم تغطية الأدوات العديدة المستخدمة في مختلف مراحل خط الأنابيب الموضحة أدناه في هذا المنشور.
فيما يلي نموذج خط الأنابيب الذي أشرنا إليه في المنشور الأخير.
دعونا نستعرض أدوات DevSecOps المختلفة التي يمكننا استخدامها في مراحل مختلفة من خط الأنابيب.
تعلم الترميز الآمن
تعلم الترميز الآمن
فئات أدوات DevSecOps
أ) خطافات ما قبل الدفع / ما قبل الالتزام
كانت هناك العديد من حالات تسريب معلومات حساسة مثل كلمات المرور ومفاتيح AWS ورموز الوصول ومفاتيح SSH عبر مستودعات التعليمات البرمجية المصدرية العامة بسبب عمليات التزام git. يمكن تجنب ذلك باستخدام خطافات الدفع المسبق أو الالتزام المسبق. يتحقق خطاف ما قبل الدفع أو ما قبل الالتزام من المعلومات الحساسة قبل إجراء أي دفع أو التزام إلى المستودع.
يمكن استخدام الأدوات التالية:
الكمأة خنزير الكمأة https://github.com/trufflesecurity/trufflehog
تاليسمان https://github.com/thoughtworks/talisman
خطافات Git Hooks https://githooks.com/
Git Secrets https://git-secret.io/
ما قبل الالتزام https://pre-commit.com/
كلب الصيد Git Hound https://github.com/ezekg/git-hound
ب) مسح الأسرار
تُستخدم الأدوات التالية على نطاق واسع لفحص الأسرار الموجودة في الكود:
GitLeaks https://github.com/zricethezav/gitleaks
ويسبرز https://github.com/Skyscanner/whispers
جيت ليكس https://github.com/kootenpv/gittyleaks
كشف الأسرار https://github.com/Yelp/detect-secrets
ديسبكترالوبس https://spectralops.io/
بصرف النظر عن الأدوات المذكورة أعلاه، يمكن أيضًا استخدام بعض الأدوات المذكورة في خطافات ما قبل الدفع أو ما قبل الالتزام لفحص الأسرار في المستودعات.
C) تخزين الأسرار وإدارتها
لتجنب تسرب الأسرار من الريبو، يمكن للمرء استخدام الأدوات التالية لتخزين الأسرار وإدارتها.
هاشيكورب فولت https://www.vaultproject.io/
مدير أسرار AWS https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html
سحابة KMS https://cloud.google.com/security-key-management
Azure Key Vault https://azure.microsoft.com/en-us/services/key-vault/
Confidant https://lyft.github.io/confidant/
كيويز https://github.com/square/keywhiz
نوكس https://github.com/pinterest/knox
د) تحليل تكوين المصدر (SCA)
يحدد SCA نقاط الضعف في البرمجيات مفتوحة المصدر (OSS) التي يستخدمها التطبيق. الأدوات التالية مستخدمة على نطاق واسع:
OWASP فحص التبعية https://owasp.org/www-project-dependency-check/
SonaType https://ossindex.sonatype.org/
سنيك https://snyk.io/
ميند (وايت سورس سابقاً) https://www.mend.io/
بلاك داك https://www.synopsys.com/software-integrity/security-testing/software-composition-analysis.html
فيراكود https://www.veracode.com/products/software-composition-analysis
JFrog XRay https://jfrog.com/xray/
ه) اختبار أمان التحليل الثابت (SAST)
أدوات SAST تحلل وتساعد في تحديد الثغرات الأمنية الموجودة في التعليمات البرمجية المصدرية.
على الرغم من توفر العديد من أدوات SAST، إلا أن أكثرها استخدامًا هي التالية:
SonarQube https://www.sonarqube.org/
Semgrep https://github.com/returntocorp/semgrep
سنيك https://snyk.io/product/snyk-code/
CloudDefense https://www.clouddefense.ai/sast-static-application-security-testing
فورتيفاي https://www.microfocus.com/en-us/cyberres/application-security/static-code-analyzer
OWASP ASST https://owasp.org/ASST/
فيراكود https://www.veracode.com/products/binary-static-analysis-sast
إذا كنت تبحث عن أي لغة برمجة على وجه التحديد، فإن هذا الرابط بمثابة نقطة مرجعية جيدة: https://owasp.org/www-community/Source_Code_Analysis_Tools.
و) البنية التحتية كرمز (IaC) وفحص الحاويات
يتم إجراء عمليات مسح البنية التحتية كرمز (IaC) وفحص الحاويات لتجنب سوء التهيئة مثل تعريض واجهات الشبكة دون داعٍ، وتصاعد الامتيازات، وانتهاك الامتثال، وما إلى ذلك.
يمكن للمرء استخدام الأدوات التالية للمسح:
تشيكوف https://www.checkov.io/
Trivy و TFsec من أكوا https://www.aquasec.com/cloud-native-academy/devsecops/infrastructure-as-code-iac/
TFLint و Terrafirma خصيصًا لـ Terraform
Dockle و Dockscan خصيصًا لـ Docker.
Cloudsploit لـ CloudFormation.
ز) اختبار أمان التطبيق الديناميكي (DAST)
فيما يلي أدوات بارزة لإجراء فحوصات DAST.
OWASP ZAP https://owasp.org/www-project-zap/
بيربسويت https://portswigger.net/burp
Acunetix https://www.acunetix.com/
كواليس https://www.qualys.com/
أراتشني https://www.arachni-scanner.com/
نيكتو https://www.cirt.net/Nikto2
ح) فحص البنية التحتية
يمكن استخدام الأدوات التالية لفحص البنية التحتية.
OpenVAS http://openvas.org/
نيسوس https://www.tenable.com/products/nessus
كواليس https://www.qualys.com/
ط) فحص الامتثال
لمسح اللوائح مثل PCI DSS و HIPAA وما إلى ذلك، يمكن للمؤسسات استخدام الأدوات التالية:
إنسبك https://www.inspec.io/
سيرفرسبيك https://serverspec.org/
DevSec Hardening Framework https://dev-sec.io/
كيتشن سي آي https://kitchen.ci/
ي) إدارة الثغرات الأمنية
يمكن استخدام الأدوات التالية لإدارة وتتبع الثغرات المكتشفة في خط الأنابيب:
ArcherySec https://github.com/archerysec/archerysec
DefectDojo https://www.defectdojo.org/
كواليس https://www.qualys.com/apps/vulnerability-management-detection-response/
رابيد7 insightVM https://www.rapid7.com/info/introducing-insightvm/
تعلم الترميز الآمن
تعلم الترميز الآمن
أدوات DevSecOps
لقد استعرضنا العديد من الأدوات التي يمكن للمرء استخدامها لدمج الأمن في خط أنابيب DevOps. بعض الأدوات مفتوحة المصدر، في حين أن بعضها الآخر مدفوع الأجر؛ واعتمادًا على الميزانية والبيئة والإعداد، فإن اختيار الأداة المناسبة أمر بالغ الأهمية.
المصادر
أفضل 9 أدوات إدارة سرية لعام 2022، جادة الأمان
أفضل أدوات DevSecOps، pcwdld.com
9 أدوات فحص DevSecOps لإبعاد الأشرار، Cybersecasia، 9 أدوات فحص DevSecOps لإبعاد الأشرار
أدوات تحليل شفرة المصدر، Owasp.org
إدارة الثغرات الأمنية، Gartner.com
دليل Devops Guide to Vulnerability Management Tools, Spectralops,io