This is the Trace Id: a6666913fb8825def17613d45de09782
Přeskočit na hlavní obsah Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Zobrazit všechny produkty Kybernetická bezpečnost využívající AI Zabezpečení cloudu Zabezpečení dat a zásady správného řízení Identita a přístup k síti Ochrana osobních údajů a řízení rizik Zabezpečení pro AI Malé a střední firmy Sjednocené operace zabezpečení Nulová důvěra (Zero Trust) Ceny Služby Partneři Proč zabezpečení od Microsoftu? Zvyšování povědomí o kybernetické bezpečnosti Příběhy zákazníků Security 101 Zkušební verze produktů Uznání v oboru Microsoft Security Insider Zpráva Microsoft Digital Defense Report Security Response Center Blog o zabezpečení od Microsoftu Akce Microsoftu zaměřené na zabezpečení Microsoft Tech Community Dokumentace Knihovna technického obsahu Výuka a certifikace Program dodržování předpisů pro Microsoft Cloud Centrum zabezpečení Microsoftu Service Trust Portal Microsoft Iniciativa za bezpečnou budoucnost Centrum podnikových řešení Kontaktovat obchodní oddělení Začít používat bezplatnou zkušební verzi Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Hybridní realita Microsoft HoloLens Microsoft Viva Kvantové výpočetní prostředky Vzdělávání Automobilový průmysl Finanční služby Státní správa Zdravotní péče Výroba Maloobchod Najít partnera Staňte se partnerem Partnerská síť Microsoft Marketplace Softwarové společnosti Blog Microsoft Advertising Středisko pro vývojáře Dokumentace Události Licencování Microsoft Learn Microsoft Research Zobrazit mapu stránek
Osoba pracující na notebooku u dřevěného stolu vedle okna s rostlinami.

Co je DevSecOps?

Zjistěte, jak DevSecOps začleňuje zabezpečení do vývojových a cloudových prostředí, aby snižoval riziko a zároveň zachoval rychlost dodávání a dodržování předpisů.
DevSecOps integruje zabezpečení do každé fáze moderního vývoje softwaru a začleňuje automatizované testování, správu identit a průběžné dodržování předpisů do pracovních postupů DevOps. S DevSecOps organizace lépe řídí rizika napříč kódem, kanály a multicloudovými prostředími, a přitom zachovávají rychlost dodávání a slaďují technické postupy s podnikovými požadavky na zabezpečení a předpisy.
  • DevSecOps začleňuje zabezpečení do celého životního cyklu vývoje softwaru a rozšiřuje DevOps o průběžné ovládací prvky zabezpečení a dodržování předpisů.
  • CNAPP sjednocuje správu stavu zabezpečení, ochranu úloh, identity a dodržování předpisů.
  • Automatizace a zásady jako kód vynucují zabezpečení ve velkém měřítku v kanálech CI/CD a přístup s nejnižšími oprávněními snižuje rizika související s identitami napříč úložišti a cloudovými úlohami.
  • Informace o hrozbách zlepšují prioritizaci zranitelností a zaměření nápravy.
  • Testování posunuté doleva a průběžné monitorování podporují bezpečné a rychlé dodávání.
  • Mezi běžné výzvy patří roztříštěnost nástrojů, mezery v dovednostech, složitost dodržování předpisů a riziko kódu generovaného AI.

Co je DevSecOps v moderních cloudových prostředích?

DevSecOps je přístup k vývoji softwaru, který integruje zabezpečení do každé fáze životního cyklu DevOps. Místo toho, aby se zabezpečení řešilo jako závěrečná kontrola před vydáním, DevSecOps začleňuje automatizované bezpečnostní ovládací prvky přímo do kanálů kontinuální integrace a kontinuálního dodávání (CI/CD). Cílem je rychle vytvářet zabezpečený a kvalitní software.

DevSecOps se vyvinul z DevOps, který se zaměřuje na zlepšení spolupráce mezi vývojovými a provozními týmy za účelem zrychlení dodávání. S rostoucím využíváním cloudu a zkracováním cyklů vydávání potřebovaly bezpečnostní týmy způsob, jak držet krok. DevSecOps rozšiřuje DevOps tím, že ze zabezpečení dělá sdílenou odpovědnost podporovanou automatizací, vynucováním zásad a průběžným testováním.

V moderních prostředích DevSecOps funguje v rámci širší cloudové nativní strategie zabezpečení, která se často poskytuje prostřednictvím platformy ochrany nativních cloudových aplikací (CNAPP). CNAPP poskytuje jednotný přehled napříč vývojovými kanály a prostředími za běhu a pomáhá týmům sladit správu stavu zabezpečení, ochranu za běhu, ovládací prvky identit a monitorování dodržování předpisů. Postupy DevSecOps tuto strategii podporují tím, že identifikují a řeší rizika včas, ještě než se dostanou do produkčního prostředí.

Tento posun ovlivňuje několik obchodních faktorů. Organizace spravují multicloudovou infrastrukturu, distribuované týmy a kód generovaný AI, které urychlují vývoj, ale můžou přinášet nová rizika. Regulační požadavky se dál rozšiřují. Průběžné vynucování zásad napříč kanály a cloudovými prostředími pomáhá udržovat kontrolu bez zpomalování inovací. DevSecOps je model, ve kterém se rychlost a zabezpečení navzájem podporují, místo aby si konkurovaly.

DevSecOps vs. DevOps: Jaký je rozdíl?

DevOps zlepšuje spolupráci vývojových a provozních týmů. Klade důraz na automatizaci, rychlejší cykly vydávání a sdílenou odpovědnost za výkon aplikací. Hlavním cílem je rychlost při zachování stability.

DevSecOps na tomto základu staví tím, že do stejných pracovních postupů integruje průběžné zabezpečení a dodržování předpisů. Místo přidávání bezpečnostních kontrol na konci vývoje DevSecOps začleňuje automatizované ovládací prvky přímo do kanálů, šablon infrastruktury a cloudových prostředí.

Rozdíl je zřetelnější v moderních cloudových scénářích. DevOps urychluje nasazování napříč multicloudovou infrastrukturou. DevSecOps řeší rizika, která s tímto rozsahem přicházejí, včetně:
 
  • ⁠Zneužití identit v sestavovacích kanálech

  • ⁠Zranitelností softwarového dodavatelského řetězce v balíčcích třetích stran

  • ⁠Chybných konfigurací infrastruktury v cloudových prostředcích

  • ⁠Tajných kódů zveřejněných v úložištích zdrojového kódu
Kanál DevOps může například po potvrzení kódu automaticky sestavit a nasadit kontejnerizované aplikace. Kanál DevSecOps před pokračováním nasazení přidává automatizované skenování zranitelností, detekci tajných kódů, analýzu závislostí a kontroly zásad. Pokud se najde kritická zranitelnost nebo zveřejněné přihlašovací údaje, kanál vydání zablokuje, dokud se problém nevyřeší.

Tady je zjednodušené porovnání:
 
  • ⁠DevOps: rychlost, automatizace, spolupráce

  • ⁠DevSecOps: rychlost, automatizace, spolupráce a navíc integrované zabezpečení a dodržování předpisů
DevSecOps zajišťuje, aby rychlé dodávání nepřinášelo neřízená rizika, tím, že slaďuje rychlost vývoje s odpovědností za zabezpečení napříč distribuovanými týmy a složitými cloudovými prostředími.

Jak DevSecOps funguje v celém životním cyklu softwaru

DevSecOps pokrývá celý životní cyklus vývoje softwaru od počátečního plánování po průběžné monitorování a integruje zabezpečení do každé fáze. Jak to funguje:

Plánování: Týmy definují požadavky na zabezpečení, povinnosti dodržování předpisů a prahové hodnoty rizik společně s funkčními cíli. Zásady se kodifikují včas, aby vedly rozhodnutí při vývoji.

Kódování: Vývojáři píšou kód s integrovanými ochrannými prvky, jako jsou zabezpečené knihovny, správa tajných kódů a ovládací prvky závislostí. Automatizované kontroly při potvrzení kódu vyhledávají zveřejněné přihlašovací údaje a zranitelné balíčky.

Sestavení: Kanály kontinuální integrace kompilují kód a spouštějí statickou analýzu, analýzu složení softwaru a podepisování artefaktů, aby chránily softwarový dodavatelský řetězec.

Testování: Automatizované bezpečnostní testování identifikuje zranitelnosti, chybné konfigurace a porušení zásad před nasazením. Přehled o rizicích v reálném čase pomáhá týmům prioritizovat nápravu podle dopadu.

Nasazení: Šablony infrastruktury jako kódu se ověřují proti ovládacím prvkům zásad jako kódu, aby se zabránilo nezabezpečeným konfiguracím v multicloudových prostředích.

Monitorování: Průběžné monitorování detekuje v produkčním prostředí hrozby za běhu, zneužití identit a odchýlení konfigurace.

Model DevSecOps odráží moderní životní cyklus bezpečného vývoje postavený na principech posunu doleva. Bezpečnostní testování a vynucování zásad začínají brzy a pokračují v celém kanálu. Automatizace a smyčky zpětné vazby poskytují průběžný přehled o rizicích.

CNAPP tento přístup podporuje tím, že poskytuje jednotné vynucování zásad, správu vystavení rizikům, ovládací prvky založené na identitách a detekci chybných konfigurací napříč vývojovými prostředími a prostředími za běhu.

DevSecOps se přímo integruje s nástroji CI/CD, jako jsou GitHub Actions a Azure DevOps, aby podporoval konzistentní bezpečnostní ovládací prvky bez narušení rychlosti dodávání.

Klíčové součásti strategie DevSecOps

DevSecOps kombinuje procesy, automatizaci a řízení do jednotného provozního modelu. I když nástroje hrají důležitou roli, úspěch skutečně závisí na tom, jak je týmy používají ve vývojových a cloudových prostředích. DevSecOps je proto stejně tak o způsobu uvažování jako o technologiích.

Na úrovni platformy poskytuje CNAPP jednotnou páteř, o kterou se týmy DevSecOps opírají. Propojuje správu stavu zabezpečení, skenování infrastruktury jako kódu (IaC), ochranu úloh, zabezpečení kontejnerů, správu vystavení rizikům a správu identit do průběžného modelu zabezpečení.

Mezi základní součásti strategie DevSecOps patří:

  • Postupy bezpečného kódování. Vývojáři vytvářejí řešení s bezpečností zahrnutou už v návrhu a používají schválené knihovny, zabezpečená úložiště a ochranu integrovaného vývojového prostředí, která snižuje riziko u zdroje.

  • Automatizace a integrace CI/CD. Bezpečnostní kontroly běží v kanálech průběžně, včetně skenování kódu, analýzy závislostí, podepisování artefaktů a ověřování zásad.

  • Správa identit a přístupu. Přístup s nejnižšími oprávněními napříč úložišti, kanály, cloudovými prostředky a účty služeb omezuje zneužití identit a laterální pohyb.

  • Dodržování předpisů a zásady správného řízení. Zásady jako kód vynucují standardy sladěné s rámci, jako jsou Mezinárodní organizace pro normalizaci (ISO), System and Organization Controls (SOC) a National Institute of Standards and Technology (NIST), a podporují připravenost na audit.

  • ⁠Průběžné monitorování. Ovládací prvky po nasazení detekují zranitelnosti, odchýlení konfigurace a hrozby za běhu.

  • Spolupráce a kultura. Zabezpečení se stává sdílenou odpovědností napříč vývojovými, provozními a bezpečnostními týmy.
DevSecOps vyžaduje silnou správu identit, disciplínu v oblasti stavu zabezpečení cloudu a ovládací prvky, které chrání vývoj založený na lidech i strojích.

Správa identit napříč kanály je základním prvkem. Účty služeb, agenti a automatizační skripty často mají zvýšená oprávnění. Bez vynucování nejnižších oprávnění se tyto identity stávají hodnotnými cíli. DevSecOps používá řízení přístupu na základě rolí, přístup just-in-time a průběžné monitorování přihlašovacích údajů napříč úložišti, kanály a cloudovými prostředky. Tajné kódy se ukládají do spravovaných trezorů, nikoli přímo do kódu. Zásady přístupu se spravují ve verzích a kontrolují stejně jako kód aplikace.

Ovládací prvky stavu zabezpečení cloudu zajišťují, že infrastruktura zůstává sladěná s definovanými základními úrovněmi zabezpečení. Šablony infrastruktury jako kódu se před nasazením vyhodnocují vůči zásadám. Po nasazení průběžné monitorování stavu zabezpečení detekuje odchýlení konfigurace, nadměrná oprávnění, veřejné zpřístupnění a nezabezpečená síťová pravidla napříč multicloudovými prostředími.

Ochrana zabezpečených úložišť a integrovaných vývojových prostředí snižuje riziko v nejranější fázi. Ochrana úložišť blokuje zveřejněné tajné kódy a zranitelné závislosti před sloučením. Rozšíření integrovaného vývojového prostředí poskytují vývojářům při psaní kódu bezpečnostní zpětnou vazbu v reálném čase, což snižuje následnou náročnost nápravy.

V éře AI DevSecOps řeší také zabezpečení dodavatelského řetězce modelů a datových sad. Týmy ověřují zdroje trénovacích dat, ověřují integritu modelů prostřednictvím podepisování artefaktů a monitorují neoprávněné zásahy v registrech modelů. Správa se vztahuje i na kód generovaný AI. Automatizované kontroly a kontroly zásad zajišťují, aby generovaný výstup splňoval bezpečnostní standardy.

Běžné nástroje a platformy DevSecOps

Nástroje DevSecOps poskytují automatizaci, přehled a kontrolu potřebné k zabezpečení moderního vývoje ve velkém měřítku. Omezují ruční kontroly, konzistentně vynucují zásady a poskytují týmům sdílený přehled o rizicích napříč kanály a cloudovými prostředími.

Nástroje pro zabezpečený kód a správu závislostí
, jako jsou GitHub Advanced Security a SonarQube, identifikují zranitelnosti a zveřejněné tajné kódy dřív, než se kód dostane do produkčního prostředí. Provádějí statické testování zabezpečení aplikací, analýzu složení softwaru a detekci tajných kódů přímo v úložištích a pull requestech a pomáhají vývojářům napravovat rizika včas.

Možnosti integrity kanálů a integrace CI/CD
v platformách, jako jsou GitHub Actions, Jenkins a bezpečnostní moduly plug-in Azure DevOps, začleňují bezpečnostní ovládací prvky přímo do pracovních postupů sestavení a vydání. Tyto integrace vynucují kontroly zásad, ověřují artefakty a spouštějí automatizované testování v celém kanálu, aby zabránily postupu vysoce rizikového kódu.

Řešení ochrany kontejnerů a cloudových úloh (CWPP) , včetně Microsoft Defenderu pro kontejnery, Aqua a Prisma Cloud, skenují image kontejnerů a monitorují prostředí za běhu. Pomáhají detekovat chybné konfigurace, zranitelné image a aktivní hrozby ovlivňující kontejnerizované aplikace.

Nástroje pro správu stavu zabezpečení cloudu a monitorování dodržování předpisů , jako jsou Microsoft Defender for Cloud a Azure Policy, průběžně posuzují infrastrukturu vůči definovaným základním úrovním zabezpečení. Identifikují odchýlení konfigurace, nadměrná oprávnění a mezery v dodržování předpisů napříč multicloudovými prostředími.

Platformy pro správu tajných kódů , včetně Azure Key Vault a HashiCorp Vault, centralizují ukládání a obměnu přihlašovacích údajů a kryptografických klíčů, čímž snižují riziko zveřejnění tajných kódů ve zdrojovém kódu nebo kanálech. Efektivní programy DevSecOps upřednostňují nástroje, které se integrují napříč úložišti, kanály a cloudovými platformami. Interoperabilita podporuje sdílené pracovní postupy, omezuje sila a pomáhá týmům udržovat konzistentní bezpečnostní ovládací prvky od vývoje po produkci.

Osvědčené postupy DevSecOps pro bezpečný moderní vývoj

Efektivní programy DevSecOps kombinují automatizaci, zásady správného řízení a kulturu, aby posilovaly odolnost a zároveň zachovávaly rychlost dodávání ve složitých multicloudových prostředích.

Přijměte přístup posunu doleva
Integrujte požadavky na zabezpečení během plánování a návrhu. Skenujte kód, závislosti a šablony infrastruktury už při jejich vytváření, ne až po nasazení. Včasná detekce snižuje náklady na nápravu a brání postupu zranitelností kanálem.

Automatizujte testování a vynucování dodržování předpisů
Začleňte bezpečnostní testování, ověřování zásad a ověřování artefaktů přímo do pracovních postupů CI/CD. Zásady jako kód zajišťují konzistentní vynucování interních standardů a externích předpisů bez úzkých míst ručních kontrol.

Uplatňujte řízení přístupu s nejnižšími oprávněními
Omezte oprávnění napříč úložišti, kanály, účty služeb a cloudovými úlohami. Vynucujte řízení přístupu na základě rolí, přístup just-in-time a spravované ukládání tajných kódů, abyste snížili rizika založená na identitách.

Prioritizujte pomocí informací o hrozbách a průběžného ověřování
Pomocí informací o kybernetických hrozbách posilte správu zranitelností o signály aktivního zneužívání. Implementujte principy kanálů Zero Trust tak, že ověříte každý artefakt sestavení, identitu a závislost. Průběžně ověřujte konfigurace a ovládací prvky podle toho, jak se prostředí vyvíjejí.

Průběžně monitorujte a rychle reagujte

Nasaďte monitorování za běhu a upozorňování, abyste v produkci detekovali hrozby, odchýlení konfigurace a anomální chování. Automatizované smyčky zpětné vazby zajišťují, že se poznatky o rizicích vracejí vývojovým týmům.

Budujte sdílenou odpovědnost
Podporujte spolupráci mezi vývojem, zabezpečením a provozem. Zabezpečení se stává součástí každodenních pracovních postupů, podporovanou očekáváními vedení a měřitelnými cíli.

Běžné výzvy při přijetí DevSecOps

Přijetí modelu DevSecOps je organizačně i technicky složité. Vedoucí pracovníci musí vyvažovat rychlost, řízení rizik a provozní efektivitu, aniž by vytvářeli třenice mezi týmy.

Vyvážení rychlého dodávání a silných bezpečnostních standardů zůstává jednou z nejběžnějších výzev. Vývojové týmy se měří podle rychlosti vydávání, zatímco bezpečnostní týmy se zaměřují na snižování rizik. Bez sdílených cílů a automatizovaných mantinelů můžou být tyto priority v rozporu.

Roztříštěnost nástrojů a složitost integrace také vytvářejí třenice. Mnoho organizací hromadí nástroje pro skenování, monitorování a dodržování předpisů, které fungují izolovaně. Fragmentované nástroje zvyšují únavu z upozornění, komplikují vytváření sestav a ztěžují udržování konzistentního vynucování zásad napříč kanály a cloudovými platformami.

Mezery v dovednostech mezi vývojovými a bezpečnostními týmy můžou zpomalovat pokrok. Dovednosti cloudového inženýrství ne vždy zahrnují odborné znalosti bezpečného kódování nebo správy identit. Bezpečnostní týmy zároveň nemusí mít hlubokou znalost pracovních postupů CI/CD a infrastruktury jako kódu.

Udržování dodržování předpisů napříč hybridními a multicloudovými prostředími přidává další vrstvu obtížnosti. Odchýlení zásad, nekonzistentní konfigurace a decentralizované týmy ztěžují prokazování připravenosti na audit. Organizace čelí také novým výzvám. Tvorba kódu urychlená AI zvyšuje objem výstupů i potenciální vystavení zranitelnostem. Šíření tajných kódů napříč úložišti a automatizačními skripty zvyšuje rizika související s identitami. Odchýlení multicloudových zásad oslabuje ovládací prvky zásad správného řízení. Definování smysluplných metrik, jako je střední doba nápravy, trendy stárnutí zranitelností a omezení vystavení rizikům, vyžaduje sladění mezi týmy.

DevSecOps se Zabezpečením od Microsoftu

Řešte běžné výzvy při přijetí DevSecOps konsolidací správy stavu zabezpečení, správy identit, informací o hrozbách a ovládacích prvků bezpečného vývoje v rámci Zabezpečení od Microsoftu.

Roztříštěnost nástrojů a fragmentovaný přehled často zpomalují vyspělost DevSecOps. Microsoft Defender for Cloud sjednocuje správu stavu cloudového zabezpečení, zabezpečení DevOps a ochranu za běhu v jedné platformě CNAPP. Tím se snižuje složitost integrace a poskytuje centralizovaný pohled na rizika napříč kódem, infrastrukturou, kontejnery a multicloudovými úlohami.

Vyvážení rychlosti dodávání a silných bezpečnostních standardů vyžaduje automatizované mantinely. Integrované možnosti zabezpečení DevOps zasahují do úložišť a kanálů CI/CD a pomáhají týmům detekovat zranitelnosti, zveřejněné tajné kódy a nezabezpečené konfigurace před nasazením. Vynucování zásad a kontroly dodržování předpisů fungují průběžně, čímž se omezují úzká místa ručních kontrol při zachování souladu se zásadami správného řízení.

Riziko identit napříč kanály a účty služeb může být přetrvávající výzvou. Řešení Zabezpečení od Microsoftu používají ovládací prvky zohledňující identity, přístup s nejnižšími oprávněními a průběžné monitorování oprávnění napříč cloudovými prostředky. Tento přístup podporuje principy Zero Trust ve vývojových pracovních postupech a omezuje příležitosti k laterálnímu pohybu.

Nová rizika, jako je tvorba kódu urychlená AI, integrita dodavatelského řetězce modelů a odchýlení multicloudových zásad, vyžadují konzistentní dohled a flexibilní přístup. Centralizovaná správa zásad a prioritizace využívající inteligentní funkce pomáhají bezpečnostním týmům soustředit se na nejdůležitější expozice a zároveň posilovat zabezpečení multicloudu napříč prostředími Azure, Amazon Web Services a Google Cloud Platform.

DevSecOps se stává udržitelnějším, když stav zabezpečení, identity, ochrana před hrozbami a dodržování předpisů fungují jako propojený systém, ne jako odpojené nástroje. Zabezpečení od Microsoftu poskytuje tento integrovaný základ a slaďuje rychlost vývoje s řízením rizik na podnikové úrovni.

Časté otázky

  • DevSecOps je zkratka z anglického Development, Security a Operations (Vývoj, zabezpečení a provoz). Je to přístup, který integruje zabezpečení do každé fáze životního cyklu vývoje softwaru. Místo toho, aby se zabezpečení řešilo jako závěrečná kontrola, DevSecOps začleňuje automatizované testování, vynucování zásad a kontroly dodržování předpisů do plánování, kódování, sestavování, nasazení a monitorování.
  • DevOps se zaměřuje na zlepšení spolupráce mezi vývojem a provozem, aby urychlil dodávání softwaru. DevSecOps na tomto modelu staví tím, že do stejných pracovních postupů přidává průběžné ovládací prvky zabezpečení a dodržování předpisů. Zajišťuje, aby rychlé dodávání nepřinášelo neřízená rizika napříč kódem, kanály a cloudovými prostředími.
  • DevSecOps je součástí širší strategie kybernetické bezpečnosti. Konkrétně aplikuje postupy zabezpečení na vývoj softwaru a cloudové operace. Zatímco kybernetická bezpečnost zahrnuje oblasti, jako je zabezpečení sítě a ochrana koncových bodů, DevSecOps se zaměřuje na zabezpečení kódu, kanálů, infrastruktury a úloh v celém životním cyklu vývoje.
  • Architektura DevSecOps integruje bezpečnostní ovládací prvky do každé fáze životního cyklu vývoje softwaru. Zahrnuje testování posunuté doleva, automatizované skenování zranitelností, zásady jako kód, správu identit, průběžné monitorování dodržování předpisů a ochranu za běhu. Architektura slaďuje rychlost vývoje s konzistentním řízením rizik a připraveností na audit.
  • DevSecOps funguje tak, že začleňuje automatizované bezpečnostní testování a vynucování zásad do kanálů kontinuální integrace a kontinuálního dodávání (CI/CD). Týmy během vývoje skenují kód a závislosti, ověřují infrastrukturu před nasazením, vynucují přístup s nejnižšími oprávněními a průběžně monitorují úlohy v produkčním prostředí, aby detekovaly hrozby a chybné konfigurace.

Sledujte zabezpečení od Microsoftu

Čeština (Česko) Ochrana osobních údajů spotřebitele ve zdravotnictví Kontaktovat Microsoft Ochrana osobních údajů Spravovat soubory cookie Podmínky používání Ochranné známky O našich reklamách EU Compliance DoCs