DevSecOps theo “DevSecOps by IBM” là viết tắt của phát triển (Development), bảo mật (Security) và vận hành (Operations). Nó hướng tới tự động hóa việc tích hợp bảo mật ở mọi giai đoạn của vòng đời phát triển phần mềm hay chính là tư duy “tất cả mọi thành phần đều có trách nhiệm với bảo mật”. DevSecOps đại diện cho một sự tiến hóa tự nhiên và cần thiết trong cách các tổ chức phát triển phần mềm tiếp cận với bảo mật.
Trong vòng đời phát triển của phần mềm, đánh giá bảo mật thường là khâu cuối cùng trước khi phần mềm phát hành và do một nhóm an ninh bảo mật riêng biệt thực hiện. Điều này có thể phù hợp khi các bản cập nhật phần mềm theo phương pháp cũ chỉ được phát hành một hoặc hai lần một năm. Nhưng khi các nhà tổ chức áp dụng các mô hình Agile và DevOps, nhằm mục đích giảm chu kỳ phát triển phần mềm xuống còn vài tuần hoặc thậm chí vài ngày, thì cách tiếp cận bảo mật truyền thống đã tạo ra một nút thắt cổ chai. Điều này đã thôi thúc họ tiếp túc cải tiến các mô hình này và mô hình DevSecOps đã ra đời, bổ sung mảnh ghép về bảo mật cho mô hình DevOps.
DevSecOps tích hợp bảo mật ứng dụng và bảo mật cơ sở hạ tầng một cách liền mạch vào các quy trình và công cụ của Agile, DevOps. Nó giải quyết các vấn đề bảo mật khi vừa xuất hiện với các ưu điểm nhanh, gọn, dễ dàng và ít tốn kém hơn để sửa chữa. Ngoài ra, DevSecOps làm cho bảo mật ứng dụng và bảo mật cơ sở hạ tầng trở thành trách nhiệm chung của các nhóm phát triển, bảo mật và vận hành, thay vì như trước kia thì đó là trách nhiệm duy nhất của một nhóm bảo mật riêng biệt. Nó cho phép “phát triển phần mềm, an toàn hơn, sớm hơn” bằng cách tự động hóa việc cung cấp bảo mật mà không làm chậm chu kỳ phát triển phần mềm.
DevSecOps đem lại rất nhiều lợi ích cho các tổ chức phát triển phần mềm:
• Phân phối nhanh hơn: Tốc độ phân phối phần mềm được cải thiện khi bảo mật được tích hợp trong luồng phát triển. Các yêu cầu về bảo mật sẽ được thêm vào ngay từ lúc phát triển để đảm bảo phần mềm an toàn khi phát hành. Điều này giúp tránh khỏi các rắc rối gặp phải ở mô hình cũ khi các yêu cầu bảo mật có thể thêm vào sau khi phần mềm đã được phát triển.
• Giảm chi phí: Xác định các lỗ hổng và lỗi trước khi triển khai giúp giảm rủi ro và chi phí hoạt động theo cấp số nhân. Lỗ hổng càng được phát hiện sớm thì càng tốn ít chi phí để khắc phục.
• Nâng cao giá trị của DevOps: DevSecOps giúp nâng cao giá trị của DevOps bằng cách tích hợp bảo mật vào mô hình DevOps.
• Mang lại thành công kinh doanh tổng thể lớn hơn: Sự tin tưởng nhiều hơn vào tính bảo mật của phần mềm cho phép nâng cao doanh thu và mở rộng các dịch vụ kinh doanh.
DevSecOps nên là sự kết hợp tự nhiên của các biện pháp kiểm soát bảo mật với quy trình phát triển, phân phối và hoạt động của tổ chức. Dưới đây là một số hướng tiếp cận cho các tổ chức để có thể triển khai thành công DevSecOps:
Dịch chuyển sang trái (Shift Left) là một kim chỉ nam của DevSecOps. Nó hướng dẫn các tổ chức di chuyển bảo mật từ bên phải (phần cuối) sang bên trái (phần đầu) của quy trình DevOps. Trong môi trường DevSecOps, bảo mật là một phần không thể thiếu trong quá trình phát triển ngay từ đầu. Một tổ chức sử dụng DevSecOps đưa các kiến trúc sư và kỹ sư an ninh mạng của họ vào làm thành viên của nhóm phát triển. Công việc của họ là đảm bảo mọi thành phần của sản phẩm và mọi mục cấu hình của môi trường triển khai đều được sử dụng cấu hình an toàn và được lập thành tài liệu.
Shift Left cho phép nhóm DevSecOps xác định sớm các rủi ro và sự cố bảo mật và đảm bảo rằng các mối đe dọa bảo mật này được giải quyết ngay lập tức. Nhóm phát triển không chỉ suy nghĩ về việc xây dựng sản phẩm một cách hiệu quả mà còn đang thực hiện bảo mật khi họ xây dựng nó.
Quy trình dịch chuyển bảo mật sang trái
Bảo mật là sự kết hợp của các giải pháp kỹ thuật và sự tuân thủ các chính sách. Các tổ chức nên hình thành một liên kết phối hợp giữa các kỹ sư phát triển, nhóm vận hành và nhóm an ninh bảo mật để đảm bảo mọi người trong tổ chức hiểu được cách thức bảo mật của công ty và cùng tuân thủ theo các tiêu chuẩn này. Các kỹ sư an ninh mạng sẽ đóng vai trò những người hướng dẫn để nâng cao nhận thức cho các thành viên trong quy trình phát triển mới. Thành viên tham gia vào quá trình phát triển và vận hành sản phẩm phải quen thuộc với các nguyên tắc cơ bản về bảo mật ứng dụng, danh sách 10 lỗ hổng bảo mật đứng đầu của Dự án bảo mật ứng dụng web mở (OWASP), kiểm tra bảo mật ứng dụng và các thực hành kỹ thuật bảo mật khác. Những kiến thức được đào tạo này sẽ được áp dụng vào trong công việc của tất cả thành viên.
Một văn hóa tốt sẽ là luồng gió để thúc đẩy sự thay đổi trong tổ chức. Trong DevSecOps, việc thông báo về trách nhiệm an ninh bảo mật của các quy trình và trách nhiệm sở hữu sản phẩm là cần thiết, chỉ khi đó các nhà phát triển và kỹ sư mới có thể trở thành chủ sở hữu quy trình và chịu trách nhiệm về công việc của họ.
Các nhóm vận hành DevSecOps cần tạo ra một hệ thống thích hợp, sử dụng các công nghệ và giao thức phù hợp với nhóm, cũng như dự án hiện tại. Bằng cách cho phép họ tạo ra môi trường, quy trình làm việc phù hợp với nhu cầu của nhóm, họ trở thành những bên liên quan mật thiết đến đầu ra của dự án.
Việc triển khai khả năng truy xuất nguồn gốc, kiểm toán và tầm nhìn trong quy trình DevSecOps giúp cung cấp các thông tin một cách chi tiết và sâu sắc hơn, cũng như đảm bảo một môi trường an toàn:
• Khả năng truy xuất nguồn gốc cho phép tổ chức theo dõi các yêu cầu trong suốt chu kỳ phát triển. Điều này giúp tổ chức kiểm soát được sự tuân thủ, giảm lỗi, đảm bảo mã an toàn trong phát triển ứng dụng và dễ dàng quản lý mã nguồn.
• Khả năng kiểm toán là rất quan trọng nhằm đảm bảo tuân thủ các biện pháp kiểm soát an ninh. Các kỹ thuật, thủ tục và quản trị để bảo đảm an ninh cần phải được tất cả các thành viên trong nhóm kiểm tra, ghi chép đầy đủ và tuân thủ.
• Tầm nhìn giúp cho tổ chức có được đầy đủ thông tin về các hoạt động diễn ra trong toàn bộ quy trình DevSecOps. Để đạt được điều này thì tổ chức cần có một hệ thống giám sát vững chắc để giám sát hoạt động, gửi cảnh báo, nhận biết về các thay đổi và tấn công mạng khi chúng xảy ra và cung cấp chứng cứ để điều tra trong toàn bộ vòng đời của dự án.
Các hướng tiếp cận được đề cập đến đều phù hợp và có thể sử dụng chung để triển khai mở rộng an ninh bảo mật cho các tổ chức muốn triển khai DevSecOps. Nhưng không giới hạn ở đó, có rất nhiều các hướng tiếp cận khác chưa được nhắc đến. Các tổ chức có thể cân nhắc để chọn lựa một hướng tiếp cận phù hợp nhất với việc phát triển của chính họ.
DevSecOps xuất hiện vào thời điểm có nhiều bất ổn trên thế giới. Khi việc triển khai 5G bắt đầu tăng tốc trên toàn cầu, nó sẽ làm phát sinh những thách thức bảo mật mới mà các chuyên gia an ninh mạng sẽ phải thích ứng và đối mặt. Trí tuệ nhân tạo đã trở thành vũ khí đối với tin tặc để tiến hành các hình thức tấn công mạng tinh vi nhằm vào các mạng và hệ thống máy tính. Cuối cùng nhưng không kém phần quan trọng, tác động địa chấn mà COVID-19 đã gây ra khiến cả thế giới phụ thuộc vào công nghệ kỹ thuật số để làm việc từ xa và sự bùng nổ tiếp theo về số lượng các sự cố bảo mật do tin tặc gây ra sau đó sẽ tiếp tục kéo dài đến năm 2022.
Bằng cách áp dụng Shift Left và áp dụng tự động hóa trong các hoạt động bảo mật, DevSecOps cung cấp các phương pháp hay nhất để bảo vệ mạng của tổ chức khỏi bối cảnh mối đe dọa mạng không ngừng phát triển. Một khảo sát trên toàn thế giới của Github với sự tham gia của 4.300 công ty, tổ chức sản xuất phần mềm cho thấy tỷ lệ áp dụng DevSecOps trong sản xuất phần mềm đã tăng từ 27% lên 35,9% chỉ qua một năm 2021. Điều này khẳng định, DevSecOps đang và sẽ tiếp tục là xu hướng của công nghệ thông tin trong những năm tới.
Nguyễn Đăng Thứ (Công ty Chứng khoán SSI)
13:00 | 25/09/2021
13:00 | 11/06/2021
14:00 | 07/04/2020
09:00 | 06/12/2023
Các cuộc chiến tranh giành lãnh địa trên không gian mạng trong tương lai sẽ xuất hiện và gia tăng giữa các nhóm tội phạm mạng khi nhiều đối thủ tập trung vào cùng một mục tiêu. Vừa qua Fortinet đã công bố Báo cáo Dự báo về các mối đe dọa an ninh mạng năm 2024 từ đội ngũ nghiên cứu FortiGuard Labs đưa ra những tác động của AI tới mô hình chiến tranh mạng, đồng thời nhấn mạnh xu hướng các mối đe dọa mới nổi có thể định hình bối cảnh chuyển đổi số trong năm tới và những năm sau.
09:00 | 23/05/2023
Cookie của trình duyệt đôi khi bị hỏng và không hoạt động như mong đợi, khiến các trang web tải không chính xác và thậm chí có thể bị lỗi. Khi điều này xảy ra, người dùng có thể khắc phục sự cố bằng cách xóa tất cả cookie ở mọi nơi, tất cả cùng một lúc hoặc có thể xóa cookie được liên kết với một trang web cụ thể. Đối với Microsoft Edge, việc xóa các cookie cụ thể yêu cầu phải đi sâu vào menu cài đặt (Settings).
12:00 | 16/03/2023
Metaverse (vũ trụ ảo) là một mạng lưới rộng lớn gồm các thế giới ảo 3D đang được phát triển mà mọi người có thể tương tác bằng cách sử dụng thực tế ảo (VR), hay thực tế tăng cường (AR). Công nghệ này hứa hẹn mang lại sự trải nghiệm mới mẻ, thú vị cho người dùng cũng như mang đến những cơ hội kinh doanh cho các doanh nghiệp trong việc chuyển đổi cách thức hoạt động. Tuy nhiên, bên cạnh những lợi ích thì Metaverse cũng đặt ra những thách thức và nguy cơ về vấn đề bảo mật trong không gian kỹ thuật số này.
10:00 | 21/12/2022
Hôm 9/12, chính phủ Vương quốc Anh vừa công bố quy tắc thực hành tự nguyện thúc giục các nhà điều hành cửa hàng ứng dụng và nhà phát triển ứng dụng nâng cấp các biện pháp bảo mật và quyền riêng tư của họ. Hướng dẫn này là kết quả của một cuộc tham vấn cộng đồng được đưa ra hồi tháng 5, với 59 phản hồi, phần lớn trong số đó là tích cực. Hướng dẫn mới sẽ được theo dõi để đảm bảo tuân thủ.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024