This is the Trace Id: c5aae7fad1dc2b1cde24e1886f37233c
Pređi na glavni sadržaj Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Pogledajte sve proizvode Kibernetička bezbednost koja koristi veštačku inteligenciju Bezbednost u oblaku Bezbednost i upravljanje Pristup identitetu i mreži Upravljanje privatnošću i rizicima Bezbednost za veštačku inteligenciju Mala i srednja preduzeća Objedinjeni timovi za bezbednosne operacije Nulta pouzdanost Cene Usluge Partneri Zašto koristiti Microsoft bezbednost? Svest o kibernetičkoj bezbednosti Priče klijenata Security 101 Probne verzije proizvoda Priznanje u okviru delatnosti Microsoft Security Insider Microsoft izveštaj o digitalnoj odbrani Security Response Center Blog o Microsoft bezbednosti Microsoft događaji vezani za bezbednost Microsoft Tech Community Dokumentacija Biblioteka tehničkog sadržaja Obuka i certifikacije Program za usaglašenost za Microsoft oblak Microsoft centar za pouzdanost Portal za pouzdanost usluga Microsoft Inicijativa za bezbednu budućnost Čvorište za poslovna rešenja Obratite se prodaji Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Mešovita realnost Microsoft HoloLens Microsoft Viva Kvantno računarstvo Education Automobili Finansijske usluge Vlada Zdravstvo Proizvodnja Maloprodaja Pronađite partnera Postanite partner Partnerske mreže Microsoft Marketplace Softverska preduzeća Blog Microsoft Advertising Razvojni centar Documentation Events Licensing Microsoft Learn Microsoft Research Prikaži mapu lokacije
Osoba radi na laptopu za drvenim stolom pored prozora sa biljkama.

Šta je to DevSecOps?

Saznajte kako DevSecOps ugrađuje bezbednost u razvojna i okruženja oblaka da bi se smanjio rizik, uz održavanje brzine isporuke i usaglašenosti.
DevSecOps integriše bezbednost u svaku fazu modernog razvoja softvera, ugrađujući automatizovano testiranje, upravljanje identitetom i kontinuiranu usaglašenost u DevOps tokove posla. Uz DevSecOps, organizacije bolje upravljaju rizikom kroz kôd, kanale i okruženja sa više oblaka, uz održavanje brzine isporuke i usklađivanje inženjerskih praksi sa zahtevima preduzeća za bezbednost i regulativu.
  • DevSecOps ugrađuje bezbednost u ceo životni ciklus razvoja softvera i proširuje DevOps dodavanjem kontinuiranih bezbednosnih i kontrola usaglašenosti.
  • CNAPP objedinjuje upravljanje položajem, zaštitu radnih opterećenja, identitet i usaglašenost.
  • Automatizacija i smernice kao kôd sprovode bezbednost u velikom obimu u CI/CD kanalima, dok pristup sa najmanje privilegija smanjuje rizik identiteta kroz depoe i radna opterećenja u oblaku.
  • Informacije o pretnjama poboljšava prioritizaciju ranjivosti i fokus na oporavak.
  • Testiranje koje pomera bezbednost unapred i kontinuirano praćenje podržavaju bezbednu, brzu isporuku.
  • Uobičajeni izazovi uključuju rasprostranjenost alatki, nedostatke u veštinama, složenost usaglašenosti i rizik od koda generisanog pomoću veštačke inteligencije.

Šta je to DevSecOps u savremenim okruženjima u oblaku?

DevSecOps je pristup razvoju softvera koji integriše bezbednost u svaku fazu DevOps životnog ciklusa. Umesto da bezbednost tretira kao završnu proveru pre objavljivanja, DevSecOps ugrađuje automatizovane bezbednosne kontrole direktno u kanale kontinuirane integracije i kontinuirane isporuke (CI/CD). Cilj je da se brzo izgradi bezbedan, veoma kvalitetan softver.

DevSecOps je evoluirao iz DevOps-a, koji je usmeren na poboljšanje saradnje između razvojnih i operativnih timova radi ubrzanja isporuke. Kako se usvajanje oblaka povećalo i skratili su se ciklusi objavljivanja, bezbednosnim timovima je bio potreban način za održavanje tempa. DevSecOps proširuje DevOps tako što bezbednost čini zajedničkom odgovornošću, podržanom automatizacijom, sprovođenjem smernica i kontinuiranim testiranjem.

U modernim okruženjima, DevSecOps deluje u okviru šire bezbednosne strategije za izvorno okruženje u oblaku, koja se često isporučuje putem platforme za zaštitu aplikacija u oblaku (CNAPP). CNAPP obezbeđuje objedinjenu vidljivost kroz razvojne kanale i okruženja za izvršavanje, pomažući timovima da usklade upravljanje statusom, zaštitu pri izvršavanju, kontrole identiteta i nadzor usaglašenosti. Prakse DevSecOps-a doprinose ovoj strategiji tako što rano identifikuju i otklanjaju rizike, pre nego što stignu do proizvodnje.

Nekoliko poslovnih pokretača oblikuje ovu promenu. Organizacije upravljaju infrastrukturom sa više oblaka, distribuiranim timovima i kodom generisanim pomoću veštačke inteligencije, što ubrzava razvoj, ali može da unese nove rizike. Regulatorni zahtevi se i dalje proširuju. Kontinuirano sprovođenje smernica kroz kanale i okruženja u oblaku pomaže da se održi kontrola bez usporavanja inovacija. DevSecOps je model u kojem se brzina i bezbednost međusobno pojačavaju, umesto da konkurišu jedna drugoj.

DevSecOps u odnosu na DevOps: U čemu je razlika?

DevOps poboljšava način na koji razvojni i operativni timovi rade zajedno. On naglašava automatizaciju, brže cikluse objavljivanja i zajedničko vlasništvo nad performansama aplikacije. Primarni cilj je brzina uz stabilnost.

DevSecOps nadograđuje tu osnovu integrisanjem kontinuirane bezbednosti i usaglašenosti u iste tokove posla. Umesto da dodaje bezbednosne provere na kraju razvoja, DevSecOps ugrađuje automatizovane kontrole direktno u kanale, predloške infrastrukture i okruženja u oblaku.

Razlika postaje jasnija u savremenim scenarijima u oblaku. DevOps ubrzava primene kroz infrastrukturu okruženja sa više oblaka. DevSecOps se bavi rizicima koji dolaze sa takvim obimom, uključujući:
 
  • ⁠Zloupotreba identiteta unutar kanala verzija

  • Ranjivosti u lancu snabdevanja softverom u paketima nezavisnih proizvođača

  • Pogrešno konfigurisanje infrastrukture u resursima u oblaku

  • ⁠Tajne otkrivene u depoima izvornog koda
Na primer, DevOps kanal može automatski da izgradi i primeni kontejnerske aplikacije nakon izvršavanja koda. DevSecOps kanal dodaje automatizovano skeniranje ranjivosti, otkrivanje tajni, analizu zavisnosti i provere smernica pre nego što se primena nastavi. Ako se pronađe kritična ranjivost ili izloženi akreditiv, kanal blokira objavljivanje dok se problem ne reši.

Evo pojednostavljenog poređenja:
 
  • ⁠DevOps: Brzina, automatizacija, saradnja

  • ⁠DevSecOps: Brzina, automatizacija, saradnja, plus integrisana bezbednost i usaglašenost
DevSecOps obezbeđuje da brza isporuka ne uvede neupravljani rizik tako što usklađuje brzinu razvoja sa odgovornošću za bezbednost kroz distribuirane timove i složena okruženja u oblaku.

Kako DevSecOps funkcioniše tokom celog životnog ciklusa softvera

DevSecOps obuhvata ceo životni ciklus razvoja softvera – od početnog planiranja do kontinuiranog nadzora – integrišući bezbednost u svaku fazu. Evo kako to funkcioniše:

Planiranje: Timovi definišu bezbednosne zahteve, obaveze usaglašenosti i pragove rizika uz funkcionalne ciljeve. Smernice se rano kodifikuju da bi usmeravale razvojne odluke.

Kodiranje: Projektanti pišu kôd sa ugrađenim zaštitnim merama kao što su bezbedne biblioteke, upravljanje tajnama i kontrole zavisnosti. Automatizovana skeniranja proveravaju izložene akreditive i ranjive pakete kada se kôd predaje.

Izgradnja: Kanali kontinuirane integracije kompajliraju kôd i pokreću statičku analizu, analizu sastava softvera i potpisivanje artefakata da bi zaštitili softverski lanac snabdevanja.

Testiranje: Automatizovano bezbednosno testiranje identifikuje ranjivosti, pogrešne konfiguracije i kršenja smernica pre primene. Uvidi u rizik u realnom vremenu pomažu timovima da daju prioritet oporavku na osnovu uticaja.

Primena: Predlošci infrastrukture kao kôd validiraju se prema kontrolama smernica kao kôd da bi se sprečile nebezbedne konfiguracije u okruženjima sa više oblaka.

Nadzor: Kontinuirani nadzor otkriva pretnje pri izvršavanju, zloupotrebu identiteta i odstupanje konfiguracije u proizvodnji.

Model DevSecOps odražava savremeni bezbedni životni ciklus razvoja zasnovan na principima ranog testiranja i provere. Bezbednosno testiranje i sprovođenje smernica počinju rano i nastavljaju se kroz ceo kanal. Automatizacija i petlje povratnih informacija obezbeđuju kontinuiranu vidljivost rizika.

CNAPP podržava ovaj pristup tako što obezbeđuje objedinjeno sprovođenje smernica, upravljanje izloženostima, kontrole zasnovane na identitetu i otkrivanje pogrešnih konfiguracija u razvojnim i okruženjima izvršavanja.

DevSecOps se direktno integriše sa CI/CD alatkama kao što su GitHub Actions i Azure DevOps da bi podržao dosledne bezbednosne kontrole bez narušavanja brzine isporuke.

Ključne komponente DevSecOps strategije

DevSecOps objedinjuje procese, automatizaciju i upravljanje u jedinstven operativni model. Iako alatke maju važnu ulogu, uspeh zaista zavisi od toga kako ih timovi primenjuju u razvojnim i okruženjima oblaka – zbog čega je DevSecOps podjednako stvar načina razmišljanja koliko i tehnologije.

Na nivou platforme, CNAPP pruža objedinjenu osnovu na koju se DevSecOps timovi oslanjaju. Povezuje upravljanje statusom, skeniranje infrastrukture kao koda (IaC), zaštitu radnog opterećenja, bezbednost kontejnera, upravljanje izloženošću i upravljanje identitetima u kontinuirani bezbednosni model.

Osnovne komponente DevSecOps strategije obuhvataju:

  • Bezbedne prakse kodiranja. Projektanti izrađuju rešenja sa bezbednošću uključenom po dizajnu, koristeći odobrene biblioteke, bezbedne depoe i zaštite integrisanog razvojnog okruženja koje smanjuju rizik na samom izvoru.

  • Automatizacija i integracija sa CI/CD-om. Bezbednosne provere se kontinuirano izvršavaju unutar kanala, uključujući skeniranje koda, analizu zavisnosti, potpisivanje artefakata i proveru valjanosti smernica.

  • Upravljanje identitetima i pristupom. Pristup sa najmanje privilegija u svim depoima, kanalima, resursima u oblaku i servisnim nalozima smanjuje zloupotrebu identiteta i bočno kretanje.

  • Usaglašenost i upravljanje. Smernice kao kôd primenjuju standarde usaglašene sa radnim okvirima kao što su Međunarodna organizacija za standardizaciju (ISO), Kontrole sistema i organizacije (SOC) i Nacionalni institut za standarde i tehnologiju (NIST), što podržava spremnost za reviziju.

  • ⁠Kontinuirano nadgledanje. Kontrole nakon primene otkrivaju ranjivosti, odstupanja u konfiguraciji i pretnje u okruženju izvršavanja.

  • Saradnja i kultura. Bezbednost postaje zajednička odgovornost razvojnih, operativnih i bezbednosnih timova.
DevSecOps zahteva snažno upravljanje identitetom, disciplinu stanja u oblaku i kontrole koje štite razvoj ljudskih i mašinskih tehnologija.

Upravljanje identitetima kroz kanale je osnovno. Servisni nalozi, agenti i automatizovani skripti često imaju povišene dozvole. Bez primene najmanjih privilegija, ovi identiteti postaju ciljevi visoke vrednosti. DevSecOps primenjuje kontrolu pristupa zasnovanu na ulogama, pristup u pravom trenutku i kontinuirano praćenje akreditiva u svim depoima, kanalima i resursima u oblaku. Tajne se čuvaju u upravljanim trezorima, a ne ugrađuju se u kôd. Smernice pristupa se kontrolišu kroz verzije i pregledaju kao i kôd aplikacije.

Kontrole postavke u oblaku obezbeđuju da infrastruktura ostane usaglašena sa definisanim bezbednosnim osnovama. Predlošci infrastrukture kao koda procenjuju se u odnosu na smernice pre primene. Nakon primene, kontinuirano praćenje stanja otkriva odstupanja u konfiguraciji, prekomerne dozvole, javnu izloženost i nebezbedna mrežna pravila u okruženjima sa više oblaka.

Zaštite bezbednih spremišta i integrisanog razvojnog okruženja smanjuju rizik u najranijoj fazi. Zaštite depoa blokiraju izložene tajne i ranjive zavisnosti pre spajanja. Ekstenzije integrisanog razvojnog okruženja prikazuju bezbednosne povratne informacije u realnom vremenu dok projektanti pišu kod, što smanjuje napor za naknadni oporavak.

U eri veštačke inteligencije, DevSecOps takođe pokriva bezbednost lanca snabdevanja modelima i skupovima podataka. Timovi proveravaju valjanost izvora podataka za obuku, verifikuju integritet modela putem potpisivanja artefakata i prate neovlašćene izmene u registrima modela. Upravljanje se proteže i na kôd generisan veštačkom inteligencijom, pri čemu automatizovani pregled i provere smernica obezbeđuju da generisani izlaz ispunjava bezbednosne standarde.

Uobičajene DevSecOps alatke i platforme

DevSecOps alatke obezbeđuju automatizaciju, vidljivost i kontrolu potrebne za zaštitu modernog razvoja u velikom obimu. Oni smanjuju ručni pregled, dosledno primenjuju smernice i daju timovima zajednički uvid u rizik u svim kanalima i okruženjima u oblaku.

Alati za bezbedno upravljanje kodom i zavisnostima
kao što su GitHub Advanced Security i SonarQube identifikuju ranjivosti i otkrivene tajne pre nego što kôd stigne u proizvodnju. Oni izvršavaju statičko testiranje bezbednosti aplikacija, analizu sastavljanja softvera i otkrivanje tajni direktno u okviru depoa i zahteva za povlačenje, pomažući projektantima da ranije reše rizik.

Integritet kanala i
integracije sa CI/CD-om na platformama, kao što su GitHub radnje, Dženkins i Azure DevOps bezbednosne dodatne komponente, ugrade bezbednosne kontrole direktno u tokove posla pravljenja i izdavanja. Ove integracije nameću provere smernica, proveravaju valjanost artefakta i pokreću automatizovano testiranje u celom kanalu da bi se sprečilo napredovanje koda visokog rizika.

Rešenja za zaštitu kontejnera i radnih opterećenja u oblaku (CWPP), uključujući Microsoft Defender za kontejnere, Aqua i Prisma Cloud, skeniraju slike kontejnera i nadziru izvođena okruženja. Ona pomažu u otkrivanju pogrešnih konfiguracija, ranjivih slika i aktivnih pretnji koje utiču na aplikacije u kontejnerima.

Alatke za upravljanje stanjem bezbednosti u oblaku i nadzor usaglašenosti, kao što su Microsoft Defender for Cloud i Azure Policy, kontinuirano procenjuju infrastrukturu u odnosu na definisane bezbednosne osnove. Oni identifikuju odstupanja u konfiguraciji, prekomerne dozvole i praznine u usaglašenosti u okruženjima sa više oblaka.

Platforme za upravljanje tajnama , uključujući Azure Key Vault i HashiCorp Vault, centralizuju skladištenje i rotaciju akreditiva i kriptografskih ključeva, smanjujući rizik od izloženih tajni u izvornom kodu ili kanalima. Efikasni DevSecOps programi daju prednost alatkama koji se integrišu kroz depoe, kanale i okruženja u oblaku. Interoperabilnost podržava zajedničke tokove posla, smanjuje silose i pomaže timovima da održavaju dosledne bezbednosne kontrole od razvoja do proizvodnje.

Najbolje prakse DevSecOps-a za siguran, savremen razvoj

Efikasni DevSecOps programi kombinuju automatizaciju, upravljanje i kulturu kako bi ojačali otpornost uz očuvanje brzine isporuke u složenim okruženjima sa više oblaka.

Usvojite pristup ranog testiranja i provere
Integrišite bezbednosne zahteve tokom planiranja i dizajna. Kôd skeniranja, zavisnosti i predlošci infrastrukture dok se stvaraju, a ne tek nakon primene. Rano otkrivanje smanjuje troškove oporavka i sprečava da ranjivosti napreduju kroz kanal.

Automatizujte testiranje i primenu usaglašenosti
Ugradite testiranje bezbednosti, proveru valjanosti smernica i verifikaciju artefakata direktno u CI/CD tokove posla. Smernice kao kôd obezbeđuju dosledno sprovođenje internih standarda i eksternih propisa bez uskih grla u ručnom pregledu.

Primenite kontrole pristupa sa najmanje privilegija
Ograničite dozvole širom depoa, kanala, servisnih naloga i radnih skupova u oblaku. Primenite kontrolu pristupa na osnovu uloga, pristup u pravom trenutku i upravljano skladištenje tajni da biste smanjili rizik zasnovan na identitetu.

Dajte prioritet korišćenju informacija o pretnjama i kontinuiranoj provera valjanosti
Koristite obaveštavanje o kibernetičkoj pretnji da biste ojačali upravljanje ranjivostima aktivnim signalima eksploatacije. Primenite principe kanala zasnovane na modelu Nulta pouzdanost tako što ćete verifikovati svaki element za izradu, identitet i zavisnost. Kontinuirano proveravajte konfiguracije i kontrole kako se okruženja razvijaju.

Kontinuirano nadgledajte i brzo reagujte

Primenite nadgledanje u toku rada i upozoravanje da biste otkrili pretnje, odstupanje konfiguracije i anomalno ponašanje u proizvodnom okruženju. Automatizovane petlje povratnih informacija obezbeđuju da se uvidi o riziku vraćaju razvojnim timovima.

Izgradite zajedničku odgovornost
Podstičite saradnju između razvoja, bezbednosti i operacija. Bezbednost postaje deo svakodnevnih tokova posla, uz podršku očekivanja rukovodstva i merljivih ciljeva.

Uobičajeni izazovi pri usvajanju DevSecOps-a

Usvajanje DevSecOps modela je i organizaciono i tehnički složeno. Rukovodioci moraju da usklade brzinu, upravljanje rizikom i operativnu efikasnost bez stvaranja trenja među timovima.

Balansiranje brze isporuke sa snažnim bezbednosnim standardima i dalje predstavlja jedan od najčešćih izazova. Razvojni timovi se mere prema brzini objavljivanja izdanja, dok se bezbednosni timovi fokusiraju na smanjenje rizika. Bez zajedničkih ciljeva i automatizovanih zaštitnih mehanizama, ti prioriteti mogu da dođu u sukob.

Rasprostranjenost alatki i složenost integracije takođe stvaraju trenje. Mnoge organizacije akumuliraju alatke za skeniranje, nadgledanje i usaglašenost koje rade izolovano. Fragmentirane alatke povećava umor upozorenja, komplikuju izveštavanje i otežavaju održavanje dosledne primene smernica na kanalima i platformama u oblaku.

Nedostaci u veštinama između razvojnih i bezbednosnih timova mogu da uspore napredak. Veštine inženjeringa u oblaku ne uključuju uvek bezbednu stručnost za kodiranje ili upravljanje identitetom. Istovremeno, bezbednosni timovi možda nemaju dovoljno bliskosti sa CI/CD tokovima posla i infrastrukturom kao kodom.

Održavanje usaglašenosti u hibridnim i okruženjima sa više oblaka dodaje još jedan sloj poteškoća. Poteškoće u vezi sa smernicama, nedosledne konfiguracije i timovi sa višim pristupom otežavaju prikaz spremnosti nadzora. Organizacije se takođe suočavaju sa novim izazovima. Kreiranje koda uz pomoć veštačke inteligencije povećava obim izlaza i potencijalnu izloženost ranjivostima. Rasprostranjenost tajni širom depoa i skripti za automatizaciju povećava rizik vezan za identitet. Odstupanja smernica u više oblaka slabe mehanizme upravljanja. Definisanje smislene metrike – kao što su srednje vreme za oporavak, trendovi ranjivosti i smanjenje izloženosti – zahtevaju poravnavanje između timova.

DevSecOps uz Microsoft bezbednost

Rešite uobičajene izazove usvajanja DevSecOps-a objedinjavanjem upravljanja bezbednosnim stanjem, upravljanja identitetima, obaveštajnih podataka o pretnjama i kontrola sigurnog razvoja u okviru Microsoft bezbednosti.

Rasprostranjenost alatki i fragmentirana vidljivost često usporavaju zrelost DevSecOps-a. Microsoft Defender for Cloud objedinjuje upravljanje stanjem bezbednosti u oblaku, bezbednosti DevOps-a i zaštitu u toku rada u okviru jednog CNAPP-a. To smanjuje složenost integracije i pruža centralizovan pregled rizika širom koda, infrastrukture, kontejnera i opterećenja u više oblaka.

Balansiranje brzine isporuke sa snažnim bezbednosnim standardima zahteva automatizovane zaštitne mehanizme. Integrisane bezbednosne mogućnosti za DevOps proširuju se na depoe i CI/CD kanale, pomažući timovima da otkriju ranjivosti, izložene tajne i nesigurne konfiguracije pre primene. Sprovođenje smernica i provere usaglašenosti rade kontinuirano, smanjujući uska grla ručnog pregleda uz održavanje usaglašenosti upravljanja.

Rizik identiteta kroz kanale i servisne naloge može da predstavlja stalni izazov. Rešenja Microsoft bezbednost primenjuju kontrole koje uzimaju identitet u obzir, pristup sa najmanje privilegija i kontinuirano praćenje dozvola širom resursa u oblaku. Ovaj pristup podržava principe Nulta pouzdanost unutar razvojnih tokova posla i ograničava mogućnosti za bočno kretanje.

Rastući rizici, kao što su kreiranje kôda ubrzano veštačkom inteligencijom, integritet lanca snabdevanja modela i odstupanja smernica u više oblaka, zahtevaju dosledan nadzor i fleksibilan pristup. Centralizovano upravljanje smernicama i određivanje prioriteta pomoću obaveštajnih podataka pomažu bezbednosnim timovima da se fokusiraju na najvažnije izloženosti, istovremeno jačajući bezbednost u više oblaka u okruženjima Azure, Amazon Web Services i Google Cloud Platform.

DevSecOps postaje održiviji kada stanja, identiteti, zaštite od pretnji i usaglašenosti funkcionišu kao povezani sistem, a ne kao alatke koje nisu povezane. Microsoft bezbednost obezbeđuje tu integrisanu osnovu, usklađujući brzinu inženjeringa sa upravljanjem rizikom na nivou preduzeća.

Najčešća pitanja

  • DevSecOps je skraćenica za razvoj, bezbednost i operacije. To je pristup koji integriše bezbednost u svaku fazu životnog ciklusa razvoja softvera. Umesto da tretira bezbednost kao konačni pregled, DevSecOps ugrađuje automatizovano testiranje, sprovođenje smernica i provere usaglašenosti u planiranje, kodiranje, izgradnju, primenu i nadgledanje.
  • DevOps se fokusira na poboljšanje saradnje između razvoja i operacija kako bi se ubrzala isporuka softvera. DevSecOps nadograđuje na tom modelu dodavanjem kontinuiranih kontrola bezbednosti i usaglašenosti u iste tokove posla. Osigurava da brza isporuka ne uvede nekontrolisani rizik u kodovima, kanalima i okruženjima u oblaku.
  • DevSecOps je deo šire strategije kibernetičke bezbednosti. On naročito primenjuje bezbednosne prakse na razvoj softvera i operacije u oblaku. Dok kibernetička bezbednost pokriva domene kao što su bezbednost mreže i zaštita krajnjih tačaka, DevSecOps se fokusira na obezbeđivanje koda, kanala, infrastrukture i radnih opterećenja tokom životnog ciklusa razvoja.
  • DevSecOps radni okvir integriše bezbednosne kontrole u svaku fazu životnog ciklusa razvoja softvera. Obuhvata testiranje sa ranim testiranjem i proverama, automatizovano skeniranje ranjivosti, smernice kao kôd, upravljanje identitetom, kontinuirano praćenje usaglašenosti i zaštitu u vremenu izvršavanja. Radni okvir usklađuje brzinu razvoja sa doslednim upravljanjem rizikom i spremnosti nadzora.
  • DevSecOps funkcioniše tako što ugrađuju automatizovano testiranje bezbednosti i sprovođenje smernica u kanale neprekidne integracije i neprekidne isporuke (CI/CD). Timovi skeniraju kôd i zavisnosti tokom razvoja, proveravaju valjanost infrastrukture pre primene, nameću pristup sa najmanje privilegija i neprekidno nadgledaju radna opterećenja u proizvodnji da bi otkrili pretnje i greške u konfiguraciji.

Pratite Microsoft bezbednost