چرا پیادهسازی DevSecOps کار ساده ای نیست؟
دوآپس (DevOps) مجموعهای از روشها، فرایندها و ابزارهایی است که با تمرکز بر ارتباطات، همکاری و یکپارچگی بین تیمهای توسعه نرمافزار و عملیات فناوری اطلاعات، ارزشهای تولیدشده را به طور سریع و مداوم به مشتریان نهایی میرساند. بااینحال، دوآپس به حوزههای مختلفی از دنیای فناوری مثل هوش مصنوعی و امنیت وارد شده است. همانگونه که از نام این راهکار مشخص است، دوآپس حد واسط میان توسعهدهندگان برنامههای کاربردی و راهبران زیرساخت است. حرکت به سمت این راهکار بهعنوان رویکردی سازمانی رویکردی تأثیرگذار است که دلیل آن افزایش میزان استفاده از تصویرسازی محاسبات و خودکارسازی در صنایع و زیرساختهای مهمی مثل مراکز داده است. این حرکت با عرضه کوبرنتیس که استانداردی برای هماهنگسازی مخازن است، شتاب بیشتری گرفت. اصول معماری میکروسرویسهای کوبرنتیس، تعاریف اعلانی و زیرساخت تغییرناپذیر آن، از جمله عوامل توانمندسازی DevOps و DevSecOps است.
DevSecOps چیست؟
DevSecOps سرنام توسعه (Development)، امنیت (Security) و عملیات (Operations) است. در DevSecops همه افراد یک سازمان در مباحث امنیتی مشارکت میکنند باهدف اینکه پیادهسازی تصمیمات و اقدامات امنیتی همسو با تصمیمات و اقدامات توسعه و عملیات باشد. به بیان دیگر، DevSecOps به دنبال آن است تا فرایندهای توسعه و عملیات در قالب یک راهحل مبتنی بر دوآپس با محوریت امنیت انجام شوند. به طور مثال، در بحث ساخت نرمافزار هدف این است که مرحله توسعه نرمافزار در کنار توسعه امنیت دنبال شود. رویکرد فوق درست برعکس حالتی است که تمرکز تنها ساخت و کامل کردن یک نرمافزار و ادامه برطرف کردن چالشهای امنیتی است.
کاربرد DevSecOps چیست؟
بااینحال، کاربرد DevSecOps فراتر از مقوله ساخت نرمافزارهای کاربردی است. با گسترش روزافزون تهدیدات سایبری، سازمانها و شرکتها برای ارتقا امنیت زیرساختها باید از یک چارچوب قدرتمند مثل DevSecOps استفاده کنند. شرکتها و سازمانهای فعال در زمینه ساخت نرمافزارهای کاربردی که از چارچوب دوآپس استفاده میکنند، باید بهتدریج به سراغ چارچوب قدرتمندتر DevSecOps بروند؛ بنابراین پس از ارتقا سطح دانش افراد در ارتباط با مباحث امنیتی و آگاهی کافی از توسعه امن، باید از چارچوب DevOps به DevSecOps مهاجرت کرد. DevSecOps به مبحث امنیت بهعنوان یک مؤلفه کلیدی در فرایند توسعه نگاه میکند. به همین دلیل اگر طبق این چارچوب گام بردارید، امنیت در فرایند توسعه مورد توجه تمامی اعضا تیم قرار میگیرد و روند ساخت و عرضه محصول به بازار را کوتاهتر میکند، زیرا زمان کمتری صرف شناسایی رخنهها و آسیبپذیریها میشود.
DevSecOps چگونه کار میکند؟
با پیروی از این چارچوب، خودکارسازی پیشرفته در سراسر خط تولید نرمافزار، باعث کاهش اشتباهات میشود، بنابراین حملات و خرابیهای سیستم کاهش مییابد. تیمهایی که به دنبال گنجاندن امنیت درون چارچوب دوآپس هستند، میتوانند به شکل یکپارچه و بیدردسر از ابزارها و فرایندهای DevSecOps استفاده کنند. برای روشن شدن مطلب اجازه مدهید یک فرایند DevSecOps را بررسی کنیم:
توسعهدهنده بهوسیله یک سیستم کنترل ورژن (VCS) کدی را مینویسند. تغییرات و کدهای جدید، درون VCS ثبت میشوند. یک توسعهدهنده دیگر کد مرحله قبل را از VCS دریافت و با انجام تحلیل روی کد تولید شده، باگها و ضعفهای امنیتی را بررسی میکند. در ادامه محیطی بهوسیله از طریق یک ابزار زیرساخت بهعنوان کد (infrastructure-as-code) ایجاد میشود. یک نمونه خوب در این زمینه Chef است. با ساخت این محیط، برنامه استقرار پیدا میکند و پیکربندی امنیتی روی سیستم اعمال میشود. ابزار فوق یک محیط آزمایشگاهی ایجاد میکند اجازه میدهد به اشکالزدایی برنامه بپردازیم. در ادامه یک مجموعه آزمایش خودکار روی برنامهای که نصب شده انجام میشود. این مجموعه آزمایشها روی عناصر بکاند و فرانتاند انجام میشود. علاوه بر این، واسطهای برنامهنویسی کاربردی و قرارگیری المانها در کنار یکدیگر آزمایش میشوند.
اگر برنامه از تستها با موفقیت عبور کند، نوبت به انتشار آن در محیط واقعی میرسد. محصولی که منتشر شده است به طور مداوم مانیتور میشود تا هرگونه نقص یا ایراد امنیتی که در آن رخ میدهد بررسی شود. دوآپس از این جهت که عملیات نرمافزار در محیط تولیدی، جزو کارهای تیم طراح برنامههای کاربردی است با روش توسعه سنتی متفاوت است. وقتی از دوآپس استفاده نشود، تیمهای عملیاتی برای دستیابی به توافقنامه سطح خدمات برنامههای کاربردی با مشکل روبرو میشوند، زیرا بازخوردی از متخصصان کنترل کیفیت یا کارشناسان امنیتی دریافت نمیکند.
DevSecOps بر مبنای دوآپس ایجاد شده و به تیمهای توسعه اطمینان میدهد که نه تنها مسائل مرتبط با برنامههای کاربردی و زیرساختها با یکدیگر هماهنگ شدهاند بلکه مخاطرات امنیتی نیز بررسی خواهند شد. بنابراین اعضا یک تیم میتوانند امنیت را در کل چرخه توسعه نرمافزار عملیاتی کنند. حرکت شرکتهای تولیدکننده نرمافزار به سمت DevSecOps و استفاده از کوبرنتیس به عنوان یک زبان مشترک در چرخه حیات مخازن (ابر) مزایای زیادی دارد. از جمله این مزایا باید به مواردی مثل کاهش هزینههای عملیاتی به دلیل وجود یک زیرساخت واحد و منسجم که بهرهوری را افزایش میدهد، کاهش هزینههای امنیتی، کاهش مخاطره عملیاتی، افزایش بهرهوری توسعهدهندگان و فراهم کردن اجرای پروژههای تحول دیجیتالی اشاره کرد.
چرا DevSecOps با شکست روبرو میشوند؟
برخی مواقع سازمانها در پیادهسازی طرحهای DevSecOps با شکست روبرو میشوند که با رعایت نکات زیر مانع بروز شکست میشوید.
شکست در ساخت فرهنگ یادگیری: گزارشی که شرکت مشاورهای مکنزی منتشر کرده نشان میدهد که موضوعات فرهنگی جزو مسائل مهم حوزه تحول دیجیتال هستند. سازمانهایی که روی مباحث آموزش و یادگیری متمرکز هستند، موفقیت بیشتری در حوزه DevSecOps کسب میکنند. بنابراین برای موفقیت DevSecOps و بهبود عملکرد سازمانها وجود فرهنگ یادگیری و آموزش اجتنابناپذیر است. برای رسیدن به این هدف باید منابع مالی و زمانی مشخصی را روی آموزش روزانه و اصطلاح فرهنگ سازمانی، بهبود مهارتهای نیروی انسانی، سرمایهگذاری در حوزه آموزش با هدف کسب گواهینامههای آموزشی اختصاص دهید.
بی توجهی نسبت به آموزشهای چندمنظوره: نظرسنجی که بنیاد لینوکس در سال 2020 انجام داد، نشان میدهد، توسعهدهندگان نرمافزارهای متن باز و رایگان به طور میانگین ۲.۳ درصد از وقت خود را صرف بهبود امنیت کدها میکنند و از مباحث امنیتی فراری هستند. در شرایطی که حفظ امنیت جزو اولویتهای اصلی تولید نرمافزار است، به همین دلیل توسعهدهندگان مسئولیت اصلی کاهش آسیبپذیریهای امنیتی را قبل از ثبت نهایی کدها بر عهده دارند. در حالی که کارشناسان امنیت نباید کدنویسان ماهری باشند، اما باید درک کلی از روشهای کدنویسی، توانایی بررسی قالبهای کلی کدها را داشته باشند تا بتوانند آسیبپذیریها و پیکربندیهای نادرست را شناسایی کنند.
بی توجهی نسبت به انتقال ارزشهای کسبوکار: هرگونه فعالیت و تلاش در ارتباط با پیادهسازی طرحهای DevSecOps باید با اهداف کلیدی کسبوکار مربوطه همخوانی داشته باشد. DevSecOps یک چرخش بزرگ است که نیازمند تعامل افراد مختلف سازمان با یکدیگر است. به همین دلیل افراد مختلف سازمان باید با ارزشهای کسبوکاری DevSecOps آشنا باشند و با انجام ارزیابیهای دقیق دلایل استفاده از آن را درک کنند.
ترس از ریسک و شکست خوردن: همانگونه که اشاره شد، تیمها و سازمانهایی در پیادهسازی طرحهای DevSecOps موفق ظاهر میشوند که فرهنگ یادگیری را نهادینه کرده باشند و از شکست هراسی نداشته باشند. اگر سازمانی اشتباه نکند، از اشتباهاتش درس نگیرد و سعی نکند با استفاده از روشهای آزمون و خطا معایب را برطرف کند، شانس لازم برای موفق بودن در پیادهسازی چارچوب DevSecOps را به دست نخواهد آورد. تیمها باید در محیطی که مبتنی بر شفافیت، امنیت و اعتماد است قدرت یادگیری، شناسایی نقاط ضعف و اصلاح آنها و ارتقای تواناییها را داشته باشند.
پراکندگی و جدایی ابزارها: افزایش سرعت تحول و ابتکار دیجیتال باعث تسریع بهکارگیری راهحلهای مبتنی بر رایانش ابری شده است. این رشد، باعث شکلگیری مجموعهای متنوع از ابزارها و برنامههای کاربردی شده که به سازمانها برای دستیابی به اهداف DevSecOps کمک میکند. با این حال تولید روزافزون ابزارهای مختلف در بیشتر سازمانها محیطی پیچیده و از هم گسیخته را ایجاد کرده است. پراکندگی ابزارها باعث ایجاد چالشهایی در زمینه بهرهوری، قابلیت نظارت و کنترل میشود. امروزه بیشتر سازمانها به دنبال گزینههایی برای مدیریت زنجیره ابزارها هستند تا از پیچیدگی و نا کارآمدی پیشگیری کنند. البته چنین مسائلی محدود به دوآپس نیست و حوزه امنیت نیز به دلیل تنوع ابزارها با چالشهای مختلفی روبرو است. بر اساس پژوهشهای انجام گرفته، معمولاً سازمانها در زمینه ارزیابی ابزارهای امنیتی و آشنایی کارمندان با همه ابزارهای موجود در محیط سازمانشان با چالشهای گوناگونی روبرو هستند.
تصور اشتباه درباره DevSecOps: یکی از اشتباهات رایج که برخی سازمانها دارند این است که فکر میکنند اگر اصول یکپارچهسازی پیوسته و تحویل مداوم را رعایت کنند، در عمل DevSecOps را پیادهسازی کردهاند. باید به این نکته دقت کنید که DevSecOps راهحلی است که با همکاری افراد، فرایندها و فناوریها اجرایی میشود. همکاری کارمندان و ادغام اصولی فرایندها تأثیر مهمی در پیادهسازی این چارچوب دارد. اگر تلاشی برای پیادهسازی فرهنگی که با اصول DevSecOps تطابق دارد، انجام نشود، اجرای طرحهای DevSecOps با شکست روبرو میشوند.
کلام آخر
پیادهسازی DevSecOps یک فرایند ساده نیست. با این حال اگر درست انجام شود و روی قابلیتهای کلیدی آن تمرکز شود، مزایای بسیاری به همراه خواهد داشت. این چارچوب علاوه بر افزایش سرعت تحویل، پاسخگویی به کاربران و مزایای رقابتی به برطرفسازی سریع، کم هزینه و مؤثر آسیبپذیریها کمک فراوانی میکند
منبع:Shabakeh-mag