Iron Bank Your DevSecOps para una garantía de software continua
Por Kevin E. Greene
16 de septiembre de 2021
3 min leer
DevSecOps ha creado una nueva ola en el desarrollo de software en varias organizaciones, convirtiéndolo en una parte integral del proceso de CI/CD. Conozca cómo la contenedorización de la solución SAST de Parasoft beneficia la entrega de software de su organización.
Saltar a la sección
DevSecOps ha ganado un impulso considerable como un proceso de facto para formalizar e integrar las pruebas de seguridad como parte del proceso de integración continua e implementación/entrega continua (CI/CD). Por integración de la seguridad en un proceso de CI/CD, las organizaciones pueden automatizar las pruebas de seguridad que se activan en cada compromiso del desarrollador, evitando demoras como un proceso cerrado o añadiéndolo al final.
CI / CD es el corazón en el desarrollo de software moderno y las organizaciones se dan cuenta de la necesidad de crear una instancia de una canalización de CI / CD para automatizar y optimizar su proceso de entrega de software.
DoD Modernizando el desarrollo de software
El Departamento de Defensa (DoD) se da cuenta del cambio en el desarrollo de software moderno y está experimentando una transformación digital para aumentar la agilidad de la misión en el apoyo a los combatientes y las operaciones de campo. La entrega de capacidades de software cada tres a diez años hace que sea imposible mantenerse al día con el ritmo de la tecnología. Como resultado, el Departamento de Defensa ha lanzado una iniciativa Enterprise DevSecOps para modernizar y transformar su enfoque de la entrega de software.
Lanzamiento de la iniciativa Enterprise DevSecOps
Esta iniciativa se compone de varios componentes diseñados para mejorar la seguridad del software, mejorar las capacidades de la infraestructura, agilizar los procesos de TI y modernizar los procesos de cumplimiento para permitir que la Autoridad para operar continua en todo el Departamento de Defensa.
Como parte de la iniciativa Enterprise DevSecOps del Departamento de Defensa, se creó un repositorio central de contenedores autorizados, reforzados y acreditados de las mejores herramientas y capacidades de desarrollo de software. Este repositorio central, conocido como Iron Bank, está diseñado para bajar el listón en la implementación de soluciones DevSecOps en los programas de software del Departamento de Defensa.
Dadas las amenazas recientes y crecientes de comprometer las cadenas de herramientas de CI / CD y las canalizaciones de DevSecOps como se vio con la violación de SolarWinds, el Departamento de Defensa está buscando aprovechar Iron Bank para acelerar la adopción de DevSecOps para asegurar el proceso de entrega de software para todos los programas de software del Departamento de Defensa.
El repositorio de Iron Bank albergará herramientas de desarrollo de software tanto gratuitas como de código abierto (FOSS) y comerciales listas para usar (COTS). Los contenedores en Iron Bank se endurecerán según la guía de endurecimiento de contenedores de la agencia para permitir la reciprocidad en todo el Departamento de Defensa en todas las clasificaciones.
Parasoft SAST en Iron Bank
Los programas de software del Departamento de Defensa pueden impulsar su canalización de CI / CD y sus cadenas de herramientas con Parasoft C / C ++test, el mas completo pruebas de seguridad de aplicaciones estáticas (SAST) solución para C y C ++, que aprovechan técnicas de análisis integrales (análisis basado en patrones, análisis de flujo de datos e interpretación abstracta) para exponer vulnerabilidades críticas que a menudo conducen a ciberataques.
Exponer vulnerabilidades críticas con Parasoft C/C++test
Actualmente está alojado en GitHub de Iron Bank como un archivo acoplable y está diseñado para usarse como una imagen base para las cadenas de herramientas del compilador C/C++. Tanto la versión estándar como la profesional están disponibles para ayudar a los programas de software del Departamento de Defensa a formalizar SAST y capacidades de prueba unitaria como parte de sus pruebas de software. Parasoft reconoce que la capacidad de desarrollar, implementar y mejorar continuamente el software es esencial para la defensa nacional.
La prueba Parasoft C / C ++ es ideal para desarrollo de software integrado y puede ayudar a hacer cumplir y validar los estándares de cumplimiento de seguridad y calidad, como Enumeración de debilidades comunes (CWE), CERT Estándares de codificación segura, Misra y AUTOSAR por nombrar algunos, así como la validación de cumplimiento para DISA STIG y OWASP.
Un mercado integrado en crecimiento
Estudios recientes sugieren que se prevé que el tamaño del mercado de sistemas integrados militares (defensa nacional) crezca de 1.4 millones en 2020 a 2.1 millones para 2025 a una tasa compuesta anual del 8.3% de 2020 a 2025.
Parasoft se da cuenta de esta creciente demanda y se ha comprometido a invertir importantes recursos para garantizar que nuestra solución SAST de prueba C / CC ++ se pueda contener en contenedores para cumplir con los estándares de seguridad y endurecimiento del Departamento de Defensa. Esto brinda una oportunidad única para que Parasoft trabaje con los programas de software del Departamento de Defensa para cumplir sus objetivos de misión de transformación digital y modernizar las prácticas de desarrollo de software para brindar seguridad de software garantizada a gran velocidad.
Iron Bank Your DevSecOps
La solución de contenedorización de Parasoft SAST proporciona los siguientes beneficios a los programas de software del DoD.
- Automatiza las pruebas de seguridad en la canalización de CI / CD para los cambios de código enviados por los desarrolladores para mantener el ritmo de la cadencia de entrega del software.
- Proporciona la capacidad de integrar la seguridad y el cumplimiento en las herramientas y los flujos de trabajo de DevOps para hacer cumplir los estándares de seguridad y cumplimiento para ayudar a informar las decisiones de gestión de riesgos.
- Ayuda a mejorar la colaboración entre desarrolladores y equipos de seguridad con análisis de flujo de trabajo de remediación, informes detallados de hallazgos, detalles de cobertura de código y análisis de informes para identificar lo que más importa.
- Apoya las actividades de Autoridad Continua para Operar (cATO) al proporcionar visibilidad en tiempo real de los riesgos y métricas identificadas a través de las pruebas de seguridad. Esto se puede utilizar para extender la reciprocidad entre los programas de software del Departamento de Defensa para acelerar e informar las actividades de la cATO.
- Proporciona comentarios de análisis en profundidad que se integran en el flujo de trabajo de los desarrolladores y los guía en la corrección de vulnerabilidades y la mejora de las prácticas de codificación.
Estos beneficios son esenciales para ayudar al Departamento de Defensa a satisfacer las necesidades de su misión y darse cuenta de las posibilidades ilimitadas en el desarrollo de software moderno. La formalización temprana de las pruebas de seguridad de software con una mentalidad de cambio a la izquierda no es negociable para los sistemas críticos y debe basarse en principios de garantía continua de software. Hágalo temprano y con frecuencia.
Exponer vulnerabilidades críticas con Parasoft C/C++test
“MISRA”, “MISRA C” y el logotipo del triángulo son marcas comerciales registradas de The MISRA Consortium Limited. © The MISRA Consortium Limited, 2021. Todos los derechos reservados.
Por Kevin E. Greene
Kevin, director de soluciones de seguridad de Parasoft, tiene una amplia experiencia y conocimientos en seguridad de software, investigación y desarrollo cibernéticos y DevOps. Aprovecha su conocimiento para crear soluciones y tecnologías significativas para mejorar las prácticas de seguridad del software.
