DevSecOps theo “DevSecOps by IBM” là viết tắt của phát triển (Development), bảo mật (Security) và vận hành (Operations). Nó hướng tới tự động hóa việc tích hợp bảo mật ở mọi giai đoạn của vòng đời phát triển phần mềm hay chính là tư duy “tất cả mọi thành phần đều có trách nhiệm với bảo mật”. DevSecOps đại diện cho một sự tiến hóa tự nhiên và cần thiết trong cách các tổ chức phát triển phần mềm tiếp cận với bảo mật.
Trong vòng đời phát triển của phần mềm, đánh giá bảo mật thường là khâu cuối cùng trước khi phần mềm phát hành và do một nhóm an ninh bảo mật riêng biệt thực hiện. Điều này có thể phù hợp khi các bản cập nhật phần mềm theo phương pháp cũ chỉ được phát hành một hoặc hai lần một năm. Nhưng khi các nhà tổ chức áp dụng các mô hình Agile và DevOps, nhằm mục đích giảm chu kỳ phát triển phần mềm xuống còn vài tuần hoặc thậm chí vài ngày, thì cách tiếp cận bảo mật truyền thống đã tạo ra một nút thắt cổ chai. Điều này đã thôi thúc họ tiếp túc cải tiến các mô hình này và mô hình DevSecOps đã ra đời, bổ sung mảnh ghép về bảo mật cho mô hình DevOps.
DevSecOps tích hợp bảo mật ứng dụng và bảo mật cơ sở hạ tầng một cách liền mạch vào các quy trình và công cụ của Agile, DevOps. Nó giải quyết các vấn đề bảo mật khi vừa xuất hiện với các ưu điểm nhanh, gọn, dễ dàng và ít tốn kém hơn để sửa chữa. Ngoài ra, DevSecOps làm cho bảo mật ứng dụng và bảo mật cơ sở hạ tầng trở thành trách nhiệm chung của các nhóm phát triển, bảo mật và vận hành, thay vì như trước kia thì đó là trách nhiệm duy nhất của một nhóm bảo mật riêng biệt. Nó cho phép “phát triển phần mềm, an toàn hơn, sớm hơn” bằng cách tự động hóa việc cung cấp bảo mật mà không làm chậm chu kỳ phát triển phần mềm.
DevSecOps đem lại rất nhiều lợi ích cho các tổ chức phát triển phần mềm:
• Phân phối nhanh hơn: Tốc độ phân phối phần mềm được cải thiện khi bảo mật được tích hợp trong luồng phát triển. Các yêu cầu về bảo mật sẽ được thêm vào ngay từ lúc phát triển để đảm bảo phần mềm an toàn khi phát hành. Điều này giúp tránh khỏi các rắc rối gặp phải ở mô hình cũ khi các yêu cầu bảo mật có thể thêm vào sau khi phần mềm đã được phát triển.
• Giảm chi phí: Xác định các lỗ hổng và lỗi trước khi triển khai giúp giảm rủi ro và chi phí hoạt động theo cấp số nhân. Lỗ hổng càng được phát hiện sớm thì càng tốn ít chi phí để khắc phục.
• Nâng cao giá trị của DevOps: DevSecOps giúp nâng cao giá trị của DevOps bằng cách tích hợp bảo mật vào mô hình DevOps.
• Mang lại thành công kinh doanh tổng thể lớn hơn: Sự tin tưởng nhiều hơn vào tính bảo mật của phần mềm cho phép nâng cao doanh thu và mở rộng các dịch vụ kinh doanh.
DevSecOps nên là sự kết hợp tự nhiên của các biện pháp kiểm soát bảo mật với quy trình phát triển, phân phối và hoạt động của tổ chức. Dưới đây là một số hướng tiếp cận cho các tổ chức để có thể triển khai thành công DevSecOps:
Dịch chuyển sang trái (Shift Left) là một kim chỉ nam của DevSecOps. Nó hướng dẫn các tổ chức di chuyển bảo mật từ bên phải (phần cuối) sang bên trái (phần đầu) của quy trình DevOps. Trong môi trường DevSecOps, bảo mật là một phần không thể thiếu trong quá trình phát triển ngay từ đầu. Một tổ chức sử dụng DevSecOps đưa các kiến trúc sư và kỹ sư an ninh mạng của họ vào làm thành viên của nhóm phát triển. Công việc của họ là đảm bảo mọi thành phần của sản phẩm và mọi mục cấu hình của môi trường triển khai đều được sử dụng cấu hình an toàn và được lập thành tài liệu.
Shift Left cho phép nhóm DevSecOps xác định sớm các rủi ro và sự cố bảo mật và đảm bảo rằng các mối đe dọa bảo mật này được giải quyết ngay lập tức. Nhóm phát triển không chỉ suy nghĩ về việc xây dựng sản phẩm một cách hiệu quả mà còn đang thực hiện bảo mật khi họ xây dựng nó.
Quy trình dịch chuyển bảo mật sang trái
Bảo mật là sự kết hợp của các giải pháp kỹ thuật và sự tuân thủ các chính sách. Các tổ chức nên hình thành một liên kết phối hợp giữa các kỹ sư phát triển, nhóm vận hành và nhóm an ninh bảo mật để đảm bảo mọi người trong tổ chức hiểu được cách thức bảo mật của công ty và cùng tuân thủ theo các tiêu chuẩn này. Các kỹ sư an ninh mạng sẽ đóng vai trò những người hướng dẫn để nâng cao nhận thức cho các thành viên trong quy trình phát triển mới. Thành viên tham gia vào quá trình phát triển và vận hành sản phẩm phải quen thuộc với các nguyên tắc cơ bản về bảo mật ứng dụng, danh sách 10 lỗ hổng bảo mật đứng đầu của Dự án bảo mật ứng dụng web mở (OWASP), kiểm tra bảo mật ứng dụng và các thực hành kỹ thuật bảo mật khác. Những kiến thức được đào tạo này sẽ được áp dụng vào trong công việc của tất cả thành viên.
Một văn hóa tốt sẽ là luồng gió để thúc đẩy sự thay đổi trong tổ chức. Trong DevSecOps, việc thông báo về trách nhiệm an ninh bảo mật của các quy trình và trách nhiệm sở hữu sản phẩm là cần thiết, chỉ khi đó các nhà phát triển và kỹ sư mới có thể trở thành chủ sở hữu quy trình và chịu trách nhiệm về công việc của họ.
Các nhóm vận hành DevSecOps cần tạo ra một hệ thống thích hợp, sử dụng các công nghệ và giao thức phù hợp với nhóm, cũng như dự án hiện tại. Bằng cách cho phép họ tạo ra môi trường, quy trình làm việc phù hợp với nhu cầu của nhóm, họ trở thành những bên liên quan mật thiết đến đầu ra của dự án.
Việc triển khai khả năng truy xuất nguồn gốc, kiểm toán và tầm nhìn trong quy trình DevSecOps giúp cung cấp các thông tin một cách chi tiết và sâu sắc hơn, cũng như đảm bảo một môi trường an toàn:
• Khả năng truy xuất nguồn gốc cho phép tổ chức theo dõi các yêu cầu trong suốt chu kỳ phát triển. Điều này giúp tổ chức kiểm soát được sự tuân thủ, giảm lỗi, đảm bảo mã an toàn trong phát triển ứng dụng và dễ dàng quản lý mã nguồn.
• Khả năng kiểm toán là rất quan trọng nhằm đảm bảo tuân thủ các biện pháp kiểm soát an ninh. Các kỹ thuật, thủ tục và quản trị để bảo đảm an ninh cần phải được tất cả các thành viên trong nhóm kiểm tra, ghi chép đầy đủ và tuân thủ.
• Tầm nhìn giúp cho tổ chức có được đầy đủ thông tin về các hoạt động diễn ra trong toàn bộ quy trình DevSecOps. Để đạt được điều này thì tổ chức cần có một hệ thống giám sát vững chắc để giám sát hoạt động, gửi cảnh báo, nhận biết về các thay đổi và tấn công mạng khi chúng xảy ra và cung cấp chứng cứ để điều tra trong toàn bộ vòng đời của dự án.
Các hướng tiếp cận được đề cập đến đều phù hợp và có thể sử dụng chung để triển khai mở rộng an ninh bảo mật cho các tổ chức muốn triển khai DevSecOps. Nhưng không giới hạn ở đó, có rất nhiều các hướng tiếp cận khác chưa được nhắc đến. Các tổ chức có thể cân nhắc để chọn lựa một hướng tiếp cận phù hợp nhất với việc phát triển của chính họ.
DevSecOps xuất hiện vào thời điểm có nhiều bất ổn trên thế giới. Khi việc triển khai 5G bắt đầu tăng tốc trên toàn cầu, nó sẽ làm phát sinh những thách thức bảo mật mới mà các chuyên gia an ninh mạng sẽ phải thích ứng và đối mặt. Trí tuệ nhân tạo đã trở thành vũ khí đối với tin tặc để tiến hành các hình thức tấn công mạng tinh vi nhằm vào các mạng và hệ thống máy tính. Cuối cùng nhưng không kém phần quan trọng, tác động địa chấn mà COVID-19 đã gây ra khiến cả thế giới phụ thuộc vào công nghệ kỹ thuật số để làm việc từ xa và sự bùng nổ tiếp theo về số lượng các sự cố bảo mật do tin tặc gây ra sau đó sẽ tiếp tục kéo dài đến năm 2022.
Bằng cách áp dụng Shift Left và áp dụng tự động hóa trong các hoạt động bảo mật, DevSecOps cung cấp các phương pháp hay nhất để bảo vệ mạng của tổ chức khỏi bối cảnh mối đe dọa mạng không ngừng phát triển. Một khảo sát trên toàn thế giới của Github với sự tham gia của 4.300 công ty, tổ chức sản xuất phần mềm cho thấy tỷ lệ áp dụng DevSecOps trong sản xuất phần mềm đã tăng từ 27% lên 35,9% chỉ qua một năm 2021. Điều này khẳng định, DevSecOps đang và sẽ tiếp tục là xu hướng của công nghệ thông tin trong những năm tới.
Nguyễn Đăng Thứ (Công ty Chứng khoán SSI)
13:00 | 25/09/2021
13:00 | 11/06/2021
14:00 | 07/04/2020
16:00 | 27/07/2023
Trong phần I của bài báo, nhóm tác giả đã trình bày về các phương pháp mã hóa dữ liệu lưu trữ, trong đó tập trung về giải pháp mã hóa phân vùng bằng dm-crypt và LUKS trên máy tính nhúng, cụ thể là Raspberry Pi. Với những ưu điểm của việc thiết kế module dưới dạng tách rời, trong phần II này, nhóm tác giả sẽ trình bày cách xây dựng module Kuznyechik trong chuẩn mật mã GOST R34.12-2015 trên Raspberry Pi, từ đó xây dựng một phần mềm mã hóa phân vùng lưu trữ video từ camera sử dụng thuật toán mật mã mới tích hợp.
12:00 | 16/03/2023
Metaverse (vũ trụ ảo) là một mạng lưới rộng lớn gồm các thế giới ảo 3D đang được phát triển mà mọi người có thể tương tác bằng cách sử dụng thực tế ảo (VR), hay thực tế tăng cường (AR). Công nghệ này hứa hẹn mang lại sự trải nghiệm mới mẻ, thú vị cho người dùng cũng như mang đến những cơ hội kinh doanh cho các doanh nghiệp trong việc chuyển đổi cách thức hoạt động. Tuy nhiên, bên cạnh những lợi ích thì Metaverse cũng đặt ra những thách thức và nguy cơ về vấn đề bảo mật trong không gian kỹ thuật số này.
08:00 | 03/01/2023
Các thiết bị Smartphone ngày nay đang phải đối mặt với nhiều mối đe dọa khác nhau, bất kể đó là hệ điều hành Android hay iOS. Thông qua các liên kết độc hại được gửi qua mạng xã hội, đến những chương trình có khả năng theo dõi, xâm phạm các ứng dụng hoặc triển khai mã độc tống tiền trên thiết bị của người dùng. Bài báo sẽ giới thiệu đến độc giả các mối đe dọa phổ biến nhắm vào thiết bị Smartphone giúp người dùng có thể chủ động phòng tránh.
13:00 | 16/09/2022
Ngày nay, số lượng các cuộc tấn công mạng sử dụng mã độc đang có chiều hướng gia tăng. Trong đó, người dùng cuối chính là mục tiêu ưa thích của tin tặc. Xuất phát từ tâm lý chủ quan, mất cảnh giác và đa số người dùng còn thiếu những kỹ năng cần thiết khi truy cập, sử dụng tài nguyên trên không gian mạng, đặc biệt là chưa có nhiều kinh nghiệm trong việc kiểm tra mã độc trên máy tính của mình. Bài viết dưới đây sẽ hướng dẫn giúp quý độc giả cách thức phát hiện mã độc cơ bản trên hệ điều hành Windows, bằng công cụ hỗ trợ Process Explorer.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024