¡La Cumbre ASTQ está en vivo el 4 de noviembre! Escuche a los líderes de la industria compartir cómo están brindando calidad continua. Regístrate ahora "

X
BLOG

Iron Bank Your DevSecOps para una garantía de software continua

Iron Bank Your DevSecOps para una garantía de software continua Tiempo de leer: 3 minutos

DevSecOps ha ganado un impulso considerable como un proceso de facto para formalizar e integrar las pruebas de seguridad como parte de la integración continua y el proceso de implementación / entrega continua (CI / CD). Al integrar la seguridad en un proceso de CI / CD, las organizaciones pueden automatizar las pruebas de seguridad que se activan en cada compromiso del desarrollador, evitando retrasos como un proceso cerrado o agregándolo al final.

CI / CD es el corazón en el desarrollo de software moderno y las organizaciones se dan cuenta de la necesidad de crear una instancia de una canalización de CI / CD para automatizar y optimizar su proceso de entrega de software.

DoD Modernizando el desarrollo de software

El Departamento de Defensa (DoD) se da cuenta del cambio en el desarrollo de software moderno y está experimentando una transformación digital para aumentar la agilidad de la misión en el apoyo a los combatientes y las operaciones de campo. La entrega de capacidades de software cada tres a diez años hace que sea imposible mantenerse al día con el ritmo de la tecnología. Como resultado, el Departamento de Defensa ha lanzado una iniciativa Enterprise DevSecOps para modernizar y transformar su enfoque de la entrega de software.

Lanzamiento de la iniciativa Enterprise DevSecOps

Esta iniciativa se compone de varios componentes diseñados para mejorar la seguridad del software, mejorar las capacidades de la infraestructura, agilizar los procesos de TI y modernizar los procesos de cumplimiento para permitir que la Autoridad para operar continua en todo el Departamento de Defensa.

Como parte de la iniciativa Enterprise DevSecOps del Departamento de Defensa, se creó un repositorio central de contenedores autorizados, reforzados y acreditados de las mejores herramientas y capacidades de desarrollo de software. Este repositorio central, conocido como Iron Bank, está diseñado para bajar el listón en la implementación de soluciones DevSecOps en los programas de software del Departamento de Defensa.

Dadas las amenazas recientes y crecientes de comprometer las cadenas de herramientas de CI / CD y las canalizaciones de DevSecOps como se vio con la violación de SolarWinds, el Departamento de Defensa está buscando aprovechar Iron Bank para acelerar la adopción de DevSecOps para asegurar el proceso de entrega de software para todos los programas de software del Departamento de Defensa.

El repositorio de Iron Bank albergará herramientas de desarrollo de software tanto gratuitas como de código abierto (FOSS) y comerciales listas para usar (COTS). Los contenedores en Iron Bank se endurecerán según la guía de endurecimiento de contenedores de la agencia para permitir la reciprocidad en todo el Departamento de Defensa en todas las clasificaciones.

Parasoft SAST en Iron Bank

Los programas de software del Departamento de Defensa pueden impulsar su canalización de CI / CD y sus cadenas de herramientas con Parasoft C / C ++test, el mas completo pruebas de seguridad de aplicaciones estáticas (SAST) solución para C y C ++, que aprovechan técnicas de análisis integrales (análisis basado en patrones, análisis de flujo de datos e interpretación abstracta) para exponer vulnerabilidades críticas que a menudo conducen a ciberataques.

Actualmente está alojado en GitHub de Iron Bank como un archivo acoplable y está destinado a ser utilizado como una imagen base para las cadenas de herramientas del compilador C / C ++. Tanto la versión estándar como la profesional están disponibles para ayudar a los programas de software del Departamento de Defensa a formalizar las capacidades de prueba de unidades y SAST como parte de sus pruebas de software. Parasoft reconoce que la capacidad de desarrollar, implementar y mejorar continuamente el software es esencial para la defensa nacional.

Captura de pantalla del repositorio de Parasoft C / C ++ Test Professional Iron Bank.
Repositorio de Parasoft Iron Bank

La prueba Parasoft C / C ++ es ideal para desarrollo de software integrado y puede ayudar a hacer cumplir y validar los estándares de cumplimiento de seguridad y calidad, como Enumeración de debilidades comunes (CWE), CERT Estándares de codificación segura, MISRA y AUTOSAR por nombrar algunos, así como la validación de cumplimiento para DISA STIG y OWASP.

Un mercado integrado en crecimiento

Estudios recientes sugieren que se prevé que el tamaño del mercado de sistemas integrados militares (defensa nacional) crezca de 1.4 millones en 2020 a 2.1 millones para 2025 a una tasa compuesta anual del 8.3% de 2020 a 2025.

Parasoft se da cuenta de esta creciente demanda y se ha comprometido a invertir importantes recursos para garantizar que nuestra solución SAST de prueba C / CC ++ se pueda contener en contenedores para cumplir con los estándares de seguridad y endurecimiento del Departamento de Defensa. Esto brinda una oportunidad única para que Parasoft trabaje con los programas de software del Departamento de Defensa para cumplir sus objetivos de misión de transformación digital y modernizar las prácticas de desarrollo de software para brindar seguridad de software garantizada a gran velocidad.

Iron Bank Your DevSecOps

La solución de contenedorización de Parasoft SAST proporciona los siguientes beneficios a los programas de software del DoD.

  • Automatiza las pruebas de seguridad en la canalización de CI / CD para los cambios de código enviados por los desarrolladores para mantener el ritmo de la cadencia de entrega del software.
  • Proporciona la capacidad de integrar la seguridad y el cumplimiento en las herramientas y los flujos de trabajo de DevOps para hacer cumplir los estándares de seguridad y cumplimiento para ayudar a informar las decisiones de gestión de riesgos.
  • Ayuda a mejorar la colaboración entre desarrolladores y equipos de seguridad con análisis de flujo de trabajo de remediación, informes detallados de hallazgos, detalles de cobertura de código y análisis de informes para identificar lo que más importa.
  • Apoya las actividades de Autoridad Continua para Operar (cATO) al proporcionar visibilidad en tiempo real de los riesgos y métricas identificadas a través de las pruebas de seguridad. Esto se puede utilizar para extender la reciprocidad entre los programas de software del Departamento de Defensa para acelerar e informar las actividades de la cATO.
  • Proporciona comentarios de análisis en profundidad que se integran en el flujo de trabajo de los desarrolladores y los guía en la corrección de vulnerabilidades y la mejora de las prácticas de codificación.

Estos beneficios son esenciales para ayudar al Departamento de Defensa a satisfacer las necesidades de su misión y darse cuenta de las posibilidades ilimitadas en el desarrollo de software moderno. La formalización temprana de las pruebas de seguridad de software con una mentalidad de cambio a la izquierda no es negociable para los sistemas críticos y debe basarse en principios de garantía continua de software. Hágalo temprano y con frecuencia.

Escrito por

Kevin E. Greene

Kevin, director de soluciones de seguridad de Parasoft, tiene una amplia experiencia y conocimientos en seguridad de software, investigación y desarrollo cibernéticos y DevOps. Aprovecha su conocimiento para crear soluciones y tecnologías significativas para mejorar las prácticas de seguridad del software.

Reciba las últimas noticias y recursos sobre pruebas de software en su bandeja de entrada.