DevSecOps theo “DevSecOps by IBM” là viết tắt của phát triển (Development), bảo mật (Security) và vận hành (Operations). Nó hướng tới tự động hóa việc tích hợp bảo mật ở mọi giai đoạn của vòng đời phát triển phần mềm hay chính là tư duy “tất cả mọi thành phần đều có trách nhiệm với bảo mật”. DevSecOps đại diện cho một sự tiến hóa tự nhiên và cần thiết trong cách các tổ chức phát triển phần mềm tiếp cận với bảo mật.
Trong vòng đời phát triển của phần mềm, đánh giá bảo mật thường là khâu cuối cùng trước khi phần mềm phát hành và do một nhóm an ninh bảo mật riêng biệt thực hiện. Điều này có thể phù hợp khi các bản cập nhật phần mềm theo phương pháp cũ chỉ được phát hành một hoặc hai lần một năm. Nhưng khi các nhà tổ chức áp dụng các mô hình Agile và DevOps, nhằm mục đích giảm chu kỳ phát triển phần mềm xuống còn vài tuần hoặc thậm chí vài ngày, thì cách tiếp cận bảo mật truyền thống đã tạo ra một nút thắt cổ chai. Điều này đã thôi thúc họ tiếp túc cải tiến các mô hình này và mô hình DevSecOps đã ra đời, bổ sung mảnh ghép về bảo mật cho mô hình DevOps.
DevSecOps tích hợp bảo mật ứng dụng và bảo mật cơ sở hạ tầng một cách liền mạch vào các quy trình và công cụ của Agile, DevOps. Nó giải quyết các vấn đề bảo mật khi vừa xuất hiện với các ưu điểm nhanh, gọn, dễ dàng và ít tốn kém hơn để sửa chữa. Ngoài ra, DevSecOps làm cho bảo mật ứng dụng và bảo mật cơ sở hạ tầng trở thành trách nhiệm chung của các nhóm phát triển, bảo mật và vận hành, thay vì như trước kia thì đó là trách nhiệm duy nhất của một nhóm bảo mật riêng biệt. Nó cho phép “phát triển phần mềm, an toàn hơn, sớm hơn” bằng cách tự động hóa việc cung cấp bảo mật mà không làm chậm chu kỳ phát triển phần mềm.
DevSecOps đem lại rất nhiều lợi ích cho các tổ chức phát triển phần mềm:
• Phân phối nhanh hơn: Tốc độ phân phối phần mềm được cải thiện khi bảo mật được tích hợp trong luồng phát triển. Các yêu cầu về bảo mật sẽ được thêm vào ngay từ lúc phát triển để đảm bảo phần mềm an toàn khi phát hành. Điều này giúp tránh khỏi các rắc rối gặp phải ở mô hình cũ khi các yêu cầu bảo mật có thể thêm vào sau khi phần mềm đã được phát triển.
• Giảm chi phí: Xác định các lỗ hổng và lỗi trước khi triển khai giúp giảm rủi ro và chi phí hoạt động theo cấp số nhân. Lỗ hổng càng được phát hiện sớm thì càng tốn ít chi phí để khắc phục.
• Nâng cao giá trị của DevOps: DevSecOps giúp nâng cao giá trị của DevOps bằng cách tích hợp bảo mật vào mô hình DevOps.
• Mang lại thành công kinh doanh tổng thể lớn hơn: Sự tin tưởng nhiều hơn vào tính bảo mật của phần mềm cho phép nâng cao doanh thu và mở rộng các dịch vụ kinh doanh.
DevSecOps nên là sự kết hợp tự nhiên của các biện pháp kiểm soát bảo mật với quy trình phát triển, phân phối và hoạt động của tổ chức. Dưới đây là một số hướng tiếp cận cho các tổ chức để có thể triển khai thành công DevSecOps:
Dịch chuyển sang trái (Shift Left) là một kim chỉ nam của DevSecOps. Nó hướng dẫn các tổ chức di chuyển bảo mật từ bên phải (phần cuối) sang bên trái (phần đầu) của quy trình DevOps. Trong môi trường DevSecOps, bảo mật là một phần không thể thiếu trong quá trình phát triển ngay từ đầu. Một tổ chức sử dụng DevSecOps đưa các kiến trúc sư và kỹ sư an ninh mạng của họ vào làm thành viên của nhóm phát triển. Công việc của họ là đảm bảo mọi thành phần của sản phẩm và mọi mục cấu hình của môi trường triển khai đều được sử dụng cấu hình an toàn và được lập thành tài liệu.
Shift Left cho phép nhóm DevSecOps xác định sớm các rủi ro và sự cố bảo mật và đảm bảo rằng các mối đe dọa bảo mật này được giải quyết ngay lập tức. Nhóm phát triển không chỉ suy nghĩ về việc xây dựng sản phẩm một cách hiệu quả mà còn đang thực hiện bảo mật khi họ xây dựng nó.
Quy trình dịch chuyển bảo mật sang trái
Bảo mật là sự kết hợp của các giải pháp kỹ thuật và sự tuân thủ các chính sách. Các tổ chức nên hình thành một liên kết phối hợp giữa các kỹ sư phát triển, nhóm vận hành và nhóm an ninh bảo mật để đảm bảo mọi người trong tổ chức hiểu được cách thức bảo mật của công ty và cùng tuân thủ theo các tiêu chuẩn này. Các kỹ sư an ninh mạng sẽ đóng vai trò những người hướng dẫn để nâng cao nhận thức cho các thành viên trong quy trình phát triển mới. Thành viên tham gia vào quá trình phát triển và vận hành sản phẩm phải quen thuộc với các nguyên tắc cơ bản về bảo mật ứng dụng, danh sách 10 lỗ hổng bảo mật đứng đầu của Dự án bảo mật ứng dụng web mở (OWASP), kiểm tra bảo mật ứng dụng và các thực hành kỹ thuật bảo mật khác. Những kiến thức được đào tạo này sẽ được áp dụng vào trong công việc của tất cả thành viên.
Một văn hóa tốt sẽ là luồng gió để thúc đẩy sự thay đổi trong tổ chức. Trong DevSecOps, việc thông báo về trách nhiệm an ninh bảo mật của các quy trình và trách nhiệm sở hữu sản phẩm là cần thiết, chỉ khi đó các nhà phát triển và kỹ sư mới có thể trở thành chủ sở hữu quy trình và chịu trách nhiệm về công việc của họ.
Các nhóm vận hành DevSecOps cần tạo ra một hệ thống thích hợp, sử dụng các công nghệ và giao thức phù hợp với nhóm, cũng như dự án hiện tại. Bằng cách cho phép họ tạo ra môi trường, quy trình làm việc phù hợp với nhu cầu của nhóm, họ trở thành những bên liên quan mật thiết đến đầu ra của dự án.
Việc triển khai khả năng truy xuất nguồn gốc, kiểm toán và tầm nhìn trong quy trình DevSecOps giúp cung cấp các thông tin một cách chi tiết và sâu sắc hơn, cũng như đảm bảo một môi trường an toàn:
• Khả năng truy xuất nguồn gốc cho phép tổ chức theo dõi các yêu cầu trong suốt chu kỳ phát triển. Điều này giúp tổ chức kiểm soát được sự tuân thủ, giảm lỗi, đảm bảo mã an toàn trong phát triển ứng dụng và dễ dàng quản lý mã nguồn.
• Khả năng kiểm toán là rất quan trọng nhằm đảm bảo tuân thủ các biện pháp kiểm soát an ninh. Các kỹ thuật, thủ tục và quản trị để bảo đảm an ninh cần phải được tất cả các thành viên trong nhóm kiểm tra, ghi chép đầy đủ và tuân thủ.
• Tầm nhìn giúp cho tổ chức có được đầy đủ thông tin về các hoạt động diễn ra trong toàn bộ quy trình DevSecOps. Để đạt được điều này thì tổ chức cần có một hệ thống giám sát vững chắc để giám sát hoạt động, gửi cảnh báo, nhận biết về các thay đổi và tấn công mạng khi chúng xảy ra và cung cấp chứng cứ để điều tra trong toàn bộ vòng đời của dự án.
Các hướng tiếp cận được đề cập đến đều phù hợp và có thể sử dụng chung để triển khai mở rộng an ninh bảo mật cho các tổ chức muốn triển khai DevSecOps. Nhưng không giới hạn ở đó, có rất nhiều các hướng tiếp cận khác chưa được nhắc đến. Các tổ chức có thể cân nhắc để chọn lựa một hướng tiếp cận phù hợp nhất với việc phát triển của chính họ.
DevSecOps xuất hiện vào thời điểm có nhiều bất ổn trên thế giới. Khi việc triển khai 5G bắt đầu tăng tốc trên toàn cầu, nó sẽ làm phát sinh những thách thức bảo mật mới mà các chuyên gia an ninh mạng sẽ phải thích ứng và đối mặt. Trí tuệ nhân tạo đã trở thành vũ khí đối với tin tặc để tiến hành các hình thức tấn công mạng tinh vi nhằm vào các mạng và hệ thống máy tính. Cuối cùng nhưng không kém phần quan trọng, tác động địa chấn mà COVID-19 đã gây ra khiến cả thế giới phụ thuộc vào công nghệ kỹ thuật số để làm việc từ xa và sự bùng nổ tiếp theo về số lượng các sự cố bảo mật do tin tặc gây ra sau đó sẽ tiếp tục kéo dài đến năm 2022.
Bằng cách áp dụng Shift Left và áp dụng tự động hóa trong các hoạt động bảo mật, DevSecOps cung cấp các phương pháp hay nhất để bảo vệ mạng của tổ chức khỏi bối cảnh mối đe dọa mạng không ngừng phát triển. Một khảo sát trên toàn thế giới của Github với sự tham gia của 4.300 công ty, tổ chức sản xuất phần mềm cho thấy tỷ lệ áp dụng DevSecOps trong sản xuất phần mềm đã tăng từ 27% lên 35,9% chỉ qua một năm 2021. Điều này khẳng định, DevSecOps đang và sẽ tiếp tục là xu hướng của công nghệ thông tin trong những năm tới.
Nguyễn Đăng Thứ (Công ty Chứng khoán SSI)
13:00 | 25/09/2021
13:00 | 11/06/2021
14:00 | 07/04/2020
13:00 | 02/12/2024
Trí tuệ nhân tạo (AI) đang ngày càng phát triển và được áp dụng trong nhiều lĩnh vực của đời sống. Thậm chí đối với những lĩnh vực đòi hỏi trình độ cao của con người như lập trình hay bảo mật, AI cũng đang chứng minh khả năng vượt trội của mình. Với sự trợ giúp của AI, Google đã phát hiện một lỗ hổng bảo mật tồn tại hơn 20 năm trong dự án phần mềm mã nguồn mở được sử dụng rộng rãi.
16:00 | 04/08/2024
Với sự phát triển mạnh mẽ của công nghệ số, số lượng các phần mềm chương trình được công bố ngày càng lớn. Song hành với đó là việc tin tặc luôn tìm cách phân tích, dịch ngược các chương trình nhằm lấy cắp ý tưởng, bẻ khóa phần mềm thương mại gây tổn hại tới các tổ chức, cá nhân phát triển phần mềm. Đặc biệt, trong ngành Cơ yếu có những chương trình có tích hợp các thuật toán mật mã ở mức mật và tối mật thì việc chống phân tích, dịch ngược có vai trò hết sức quan trọng. Do đó, việc phát triển một giải pháp bảo vệ các chương trình phần mềm chống lại nguy cơ phân tích, dịch ngược là rất cấp thiết.
10:00 | 07/06/2024
Bảo đảm an ninh mạng rất đóng vai trò quan trọng, giúp bảo vệ dữ liệu, hệ thống và mạng của tổ chức, doanh nghiệp khỏi các cuộc tấn công của tội phạm mạng. Các cuộc tấn công này có thể làm gián đoạn, gây tổn thất về dữ liệu và chi phí cho doanh nghiệp. Các chuyên gia bảo mật thuộc Công ty An ninh mạng Viettel đã đưa ra khuyến nghị về năm cách bảo vệ hệ thống dành cho doanh nghiệp, nếu áp dụng chính xác có thể giảm thiểu tới 90% các cuộc tấn công mạng.
07:00 | 08/04/2024
Thiết bị truyền dữ liệu một chiều Datadiode có ý nghĩa quan trọng trong việc bảo đảm an toàn thông tin (ATTT) cho việc kết nối liên thông giữa các vùng mạng với nhau, đặc biệt giữa vùng mạng riêng, nội bộ với các vùng mạng bên ngoài kém an toàn hơn. Khi chủ trương xây dựng Chính phủ điện tử, Chính phủ số của Quân đội được quan tâm, đẩy mạnh phát triển. Việc liên thông các mạng với nhau, giữa mạng trong và mạng ngoài, giữa mạng truyền số liệu quân sự (TSLQS) và mạng Internet, giữa các hệ thống thông tin quân sự và cơ sở dữ liệu (CSDL) quốc gia về dân cư, bảo hiểm y tế và các CSDL dùng chung khác yêu cầu phải kết nối. Bài báo sẽ trình bày giải pháp truyền dữ liệu một chiều Datadiode cho phép các ứng dụng giữa hai vùng mạng kết nối sử dụng giao thức Webservice/RestAPI.
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Hệ thống Internet vạn vật (IoT) đang được ứng dụng vào nông nghiệp, công nghiệp, quân sự và thiết lập hệ thống giám sát các thiết bị gia dụng trong gia đình. Đặc điểm chính của các hệ thống này phổ biến dùng vi điều khiển trên nền tảng arduino kết hợp với một server miễn phí. Đây là một nhược điểm rất lớn do độ ổn định theo thời gian dài của vi điều khiển là không cao, tính bảo mật thấp, khả năng bị tấn công và bị chiếm quyền điều khiển là rất cao. Vì vậy cần loại bỏ các nhược điểm này trong các hệ thống điều khiển thông qua chuẩn IoT công nghiệp. Bài viết trình bày nghiên cứu xây dựng một mạng SCADA (Supervisory Control and Data Acquisition) công nghiệp có thể giám sát và thu thập dữ liệu qua Internet, đảm bảo tính bảo mật và an toàn của hệ thống.
14:00 | 04/02/2025