DevOps 為近幾年常見的軟體開發方法,其精神為將開發和營運(DevOps)結合一體,但在在資安風險安全意識抬頭的今天,對於軟體開發品質的安全要求都日趨嚴格,如何在DevOps 軟體開發文化中融入資訊安全的觀點,這對DevOps 開發流程中是一個挑戰。
為了將資訊安全融入DevOps 開發流程內,我們提出III DevOps 工具解決方案,讓軟體專案的迭代開發週期,即可由「持續整合」(Continuous Integration, CI)、「持續交付」(Continuous Delivery)與「持續部署」(Continuous Deployment)的程序中加入資訊安全自動檢測環節,達到軟體開發初期,使開發人員及維運人員迅速的了解資安風險問題所在,大幅提升產品品質。
III DevOps將資訊安全檢測工具融入在 CI/CD 開發流程內,於軟體開發過程中,開發者上傳原始碼後,即可自動化進行檢測,包含原始碼弱點掃描、軟體組成清單 (SBOM)掃描及黑箱滲透掃描等資安檢測,解決傳統資安檢測經由特定人員進行相關功能檢測耗時與檢測標的版控問題,因融入DevOps 開發自動化流程與持續進行資安檢測,讓使用者於平台上快速了解目前軟體開發的品質及狀況,以利開發者於軟體初期即可檢視相關問題,解決過去只在產品最後檢測階段才發現問題卻為時已晚的窘境,也能因此提升團隊資訊安全開發的解決能力。
簡易描述其功能特色如下:
1. 兼具軟體工程、CI/CD 及專案管理需求:整合了Gitlab、Redmine、Harbor、Rancher…等多項開源方案。
2. 平台提供多角色協同作業:讓系統管理員、專案經理、開發人員及測試人員可在同一平台作業,讓團隊成員有一致透通的資訊,快速達成需求到問題的溝通釐清。
3. 完全自主控管:採開源軟體條款進行授權,建置在自己控管的主機內,不用擔心被雲端服務綁定。
4. 全平台容器化:系統元件及系統皆部署在Kubernetes上,可支援橫向擴展。
5. 支持多元開發環境:針對不同的開發語言、framework、執行環境,提供快速佈署範本。
6. 彈性加值功能服務:平台提供整合介接介面與外部工具整合,如資訊安全檢測工具(Checkmarx、Fortify WebInspect、SonarQube、OWASP ZAP、Postman、SideeX),可發展專屬領域的軟體開發驗證程序。
歡迎於活動期間前來攤位與我們共同交流。
相關資訊請參閱 www.iiidevops.org