theo “DevSecOps by IBM” là viết tắt của phát triển (Development), bảo mật (Security) và vận hành (Operations). Nó hướng tới tự động hóa việc tích hợp bảo mật ở mọi giai đoạn của vòng đời phát triển phần mềm hay chính là tư duy “tất cả mọi thành phần đều có trách nhiệm với bảo mật”. DevSecOps đại diện cho một sự tiến hóa tự nhiên và cần thiết trong cách các tổ chức phát triển phần mềm tiếp cận với bảo mật.
Trong vòng đời phát triển của phần mềm, đánh giá bảo mật thường là khâu cuối cùng trước khi phần mềm phát hành và do một nhóm an ninh bảo mật riêng biệt thực hiện. Điều này có thể phù hợp khi các bản cập nhật phần mềm theo phương pháp cũ chỉ được phát hành một hoặc hai lần một năm. Nhưng khi các nhà tổ chức áp dụng các mô hình Agile và DevOps, nhằm mục đích giảm chu kỳ phát triển phần mềm xuống còn vài tuần hoặc thậm chí vài ngày, thì cách tiếp cận bảo mật truyền thống đã tạo ra một nút thắt cổ chai. Điều này đã thôi thúc họ tiếp túc cải tiến các mô hình này và mô hình DevSecOps đã ra đời, bổ sung mảnh ghép về bảo mật cho mô hình DevOps.
DevSecOps tích hợp bảo mật ứng dụng và bảo mật cơ sở hạ tầng một cách liền mạch vào các quy trình và công cụ của Agile, DevOps. Nó giải quyết các vấn đề bảo mật khi vừa xuất hiện với các ưu điểm nhanh, gọn, dễ dàng và ít tốn kém hơn để sửa chữa. Ngoài ra, DevSecOps làm cho bảo mật ứng dụng và bảo mật cơ sở hạ tầng trở thành trách nhiệm chung của các nhóm phát triển, bảo mật và vận hành, thay vì như trước kia thì đó là trách nhiệm duy nhất của một nhóm bảo mật riêng biệt. Nó cho phép “phát triển phần mềm, an toàn hơn, sớm hơn” bằng cách tự động hóa việc cung cấp bảo mật mà không làm chậm chu kỳ phát triển phần mềm.
DevSecOps đem lại rất nhiều lợi ích cho các tổ chức phát triển phần mềm:
• Phân phối nhanh hơn: Tốc độ phân phối phần mềm được cải thiện khi bảo mật được tích hợp trong luồng phát triển. Các yêu cầu về bảo mật sẽ được thêm vào ngay từ lúc phát triển để đảm bảo phần mềm an toàn khi phát hành. Điều này giúp tránh khỏi các rắc rối gặp phải ở mô hình cũ khi các yêu cầu bảo mật có thể thêm vào sau khi phần mềm đã được phát triển.
• Giảm chi phí: Xác định các lỗ hổng và lỗi trước khi triển khai giúp giảm rủi ro và chi phí hoạt động theo cấp số nhân. Lỗ hổng càng được phát hiện sớm thì càng tốn ít chi phí để khắc phục.
• Nâng cao giá trị của DevOps: DevSecOps giúp nâng cao giá trị của DevOps bằng cách tích hợp bảo mật vào mô hình DevOps.
• Mang lại thành công kinh doanh tổng thể lớn hơn: Sự tin tưởng nhiều hơn vào tính bảo mật của phần mềm cho phép nâng cao doanh thu và mở rộng các dịch vụ kinh doanh.
DevSecOps nên là sự kết hợp tự nhiên của các biện pháp kiểm soát bảo mật với quy trình phát triển, phân phối và hoạt động của tổ chức. Dưới đây là một số hướng tiếp cận cho các tổ chức để có thể triển khai thành công DevSecOps:
Dịch chuyển sang trái (Shift Left) là một kim chỉ nam của DevSecOps. Nó hướng dẫn các tổ chức di chuyển bảo mật từ bên phải (phần cuối) sang bên trái (phần đầu) của quy trình DevOps. Trong môi trường DevSecOps, bảo mật là một phần không thể thiếu trong quá trình phát triển ngay từ đầu. Một tổ chức sử dụng DevSecOps đưa các kiến trúc sư và kỹ sư an ninh mạng của họ vào làm thành viên của nhóm phát triển. Công việc của họ là đảm bảo mọi thành phần của sản phẩm và mọi mục cấu hình của môi trường triển khai đều được sử dụng cấu hình an toàn và được lập thành tài liệu.
Shift Left cho phép nhóm DevSecOps xác định sớm các rủi ro và sự cố bảo mật và đảm bảo rằng các mối đe dọa bảo mật này được giải quyết ngay lập tức. Nhóm phát triển không chỉ suy nghĩ về việc xây dựng sản phẩm một cách hiệu quả mà còn đang thực hiện bảo mật khi họ xây dựng nó.
Quy trình dịch chuyển bảo mật sang trái
Bảo mật là sự kết hợp của các giải pháp kỹ thuật và sự tuân thủ các chính sách. Các tổ chức nên hình thành một liên kết phối hợp giữa các kỹ sư phát triển, nhóm vận hành và nhóm an ninh bảo mật để đảm bảo mọi người trong tổ chức hiểu được cách thức bảo mật của công ty và cùng tuân thủ theo các tiêu chuẩn này. Các kỹ sư an ninh mạng sẽ đóng vai trò những người hướng dẫn để nâng cao nhận thức cho các thành viên trong quy trình phát triển mới. Thành viên tham gia vào quá trình phát triển và vận hành sản phẩm phải quen thuộc với các nguyên tắc cơ bản về bảo mật ứng dụng, danh sách 10 lỗ hổng bảo mật đứng đầu của Dự án bảo mật ứng dụng web mở (OWASP), kiểm tra bảo mật ứng dụng và các thực hành kỹ thuật bảo mật khác. Những kiến thức được đào tạo này sẽ được áp dụng vào trong công việc của tất cả thành viên.
Một văn hóa tốt sẽ là luồng gió để thúc đẩy sự thay đổi trong tổ chức. Trong DevSecOps, việc thông báo về trách nhiệm an ninh bảo mật của các quy trình và trách nhiệm sở hữu sản phẩm là cần thiết, chỉ khi đó các nhà phát triển và kỹ sư mới có thể trở thành chủ sở hữu quy trình và chịu trách nhiệm về công việc của họ.
Các nhóm vận hành DevSecOps cần tạo ra một hệ thống thích hợp, sử dụng các công nghệ và giao thức phù hợp với nhóm, cũng như dự án hiện tại. Bằng cách cho phép họ tạo ra môi trường, quy trình làm việc phù hợp với nhu cầu của nhóm, họ trở thành những bên liên quan mật thiết đến đầu ra của dự án.
Việc triển khai khả năng truy xuất nguồn gốc, kiểm toán và tầm nhìn trong quy trình DevSecOps giúp cung cấp các thông tin một cách chi tiết và sâu sắc hơn, cũng như đảm bảo một môi trường an toàn:
• Khả năng truy xuất nguồn gốc cho phép tổ chức theo dõi các yêu cầu trong suốt chu kỳ phát triển. Điều này giúp tổ chức kiểm soát được sự tuân thủ, giảm lỗi, đảm bảo mã an toàn trong phát triển ứng dụng và dễ dàng quản lý mã nguồn.
• Khả năng kiểm toán là rất quan trọng nhằm đảm bảo tuân thủ các biện pháp kiểm soát an ninh. Các kỹ thuật, thủ tục và quản trị để bảo đảm an ninh cần phải được tất cả các thành viên trong nhóm kiểm tra, ghi chép đầy đủ và tuân thủ.
• Tầm nhìn giúp cho tổ chức có được đầy đủ thông tin về các hoạt động diễn ra trong toàn bộ quy trình DevSecOps. Để đạt được điều này thì tổ chức cần có một hệ thống giám sát vững chắc để giám sát hoạt động, gửi cảnh báo, nhận biết về các thay đổi và tấn công mạng khi chúng xảy ra và cung cấp chứng cứ để điều tra trong toàn bộ vòng đời của dự án.
Các hướng tiếp cận được đề cập đến đều phù hợp và có thể sử dụng chung để triển khai mở rộng an ninh bảo mật cho các tổ chức muốn triển khai DevSecOps. Nhưng không giới hạn ở đó, có rất nhiều các hướng tiếp cận khác chưa được nhắc đến. Các tổ chức có thể cân nhắc để chọn lựa một hướng tiếp cận phù hợp nhất với việc phát triển của chính họ.
DevSecOps xuất hiện vào thời điểm có nhiều bất ổn trên thế giới. Khi việc triển khai 5G bắt đầu tăng tốc trên toàn cầu, nó sẽ làm phát sinh những thách thức bảo mật mới mà các chuyên gia an ninh mạng sẽ phải thích ứng và đối mặt. Trí tuệ nhân tạo đã trở thành vũ khí đối với tin tặc để tiến hành các hình thức tấn công mạng tinh vi nhằm vào các mạng và hệ thống máy tính. Cuối cùng nhưng không kém phần quan trọng, tác động địa chấn mà COVID-19 đã gây ra khiến cả thế giới phụ thuộc vào công nghệ kỹ thuật số để làm việc từ xa và sự bùng nổ tiếp theo về số lượng các sự cố bảo mật do tin tặc gây ra sau đó sẽ tiếp tục kéo dài đến năm 2022.
Bằng cách áp dụng Shift Left và áp dụng tự động hóa trong các hoạt động bảo mật, DevSecOps cung cấp các phương pháp hay nhất để bảo vệ mạng của tổ chức khỏi bối cảnh mối đe dọa mạng không ngừng phát triển. Một khảo sát trên toàn thế giới của Github với sự tham gia của 4.300 công ty, tổ chức sản xuất phần mềm cho thấy tỷ lệ áp dụng DevSecOps trong sản xuất phần mềm đã tăng từ 27% lên 35,9% chỉ qua một năm 2021. Điều này khẳng định, DevSecOps đang và sẽ tiếp tục là xu hướng của công nghệ thông tin trong những năm tới.
Nguyễn Đăng Thứ (Công ty Chứng khoán SSI)
13:00 | 25/09/2021
13:00 | 11/06/2021
14:00 | 07/04/2020
10:00 | 07/06/2024
Bảo đảm an ninh mạng rất đóng vai trò quan trọng, giúp bảo vệ dữ liệu, hệ thống và mạng của tổ chức, doanh nghiệp khỏi các cuộc tấn công của tội phạm mạng. Các cuộc tấn công này có thể làm gián đoạn, gây tổn thất về dữ liệu và chi phí cho doanh nghiệp. Các chuyên gia bảo mật thuộc Công ty An ninh mạng Viettel đã đưa ra khuyến nghị về năm cách bảo vệ hệ thống dành cho doanh nghiệp, nếu áp dụng chính xác có thể giảm thiểu tới 90% các cuộc tấn công mạng.
11:00 | 13/05/2024
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
13:00 | 19/03/2024
Hiện nay, khi mức độ phổ biến của Hệ thống tệp liên mạng (Interplanetary File System - IPFS) ngày càng phát triển thì cũng kéo theo những rủi ro và mối đe dọa bởi tội phạm mạng nhanh chóng phát triển các kỹ thuật tấn công và lợi dụng công nghệ IPFS để mở rộng hoạt động phạm tội của chúng. Các cuộc tấn công này thậm chí còn trở nên nguy hiểm hơn khi nhiều dịch vụ lưu trữ tệp, lưu trữ web và đám mây hiện đang sử dụng IPFS. Xu hướng gần đây cho thấy sự gia tăng đáng lo ngại về các cuộc tấn công lừa đảo tận dụng IPFS, trong đó kẻ tấn công lạm dụng tính chất phi tập trung của công nghệ này để lưu trữ và phân phối nội dung độc hại. Bài báo trình bày tổng quan và thực trạng tấn công lừa đảo IPFS, từ đó đưa ra phương pháp phù hợp để phòng tránh trước các cuộc tấn công lừa đảo IPFS.
10:00 | 26/10/2023
Trong thời gian gần đây, các trường hợp lừa đảo qua mã QR ngày càng nở rộ với các hình thức tinh vi. Bên cạnh hình thức lừa đảo cũ là dán đè mã QR thanh toán tại các cửa hàng khiến tiền chuyển về tài khoản kẻ gian, vừa qua còn xuất hiện các hình thức lừa đảo mới.
Với sự phát triển mạnh mẽ của công nghệ số, số lượng các phần mềm chương trình được công bố ngày càng lớn. Song hành với đó là việc tin tặc luôn tìm cách phân tích, dịch ngược các chương trình nhằm lấy cắp ý tưởng, bẻ khóa phần mềm thương mại gây tổn hại tới các tổ chức, cá nhân phát triển phần mềm. Đặc biệt, trong ngành Cơ yếu có những chương trình có tích hợp các thuật toán mật mã ở mức mật và tối mật thì việc chống phân tích, dịch ngược có vai trò hết sức quan trọng. Do đó, việc phát triển một giải pháp bảo vệ các chương trình phần mềm chống lại nguy cơ phân tích, dịch ngược là rất cấp thiết.
16:00 | 04/08/2024
Ngày nay, tin tức về các vụ vi phạm dữ liệu cá nhân trên không gian mạng không còn là vấn đề mới, ít gặp. Vậy làm thế nào để dữ liệu cá nhân của bạn không bị rơi vào tay kẻ xấu? Dưới đây là 6 cách để bảo vệ thông tin cá nhân khi trực tuyến.
13:00 | 28/08/2024