DevSecOps
Crea app sicure in una piattaforma attendibile. Incorpora la sicurezza nel flusso di lavoro degli sviluppatori e favorisci la collaborazione tra sviluppatori, professionisti della sicurezza e operatori IT.
Distribuisci in modo sicuro app innovative alla velocità di DevOps
Per far fronte ai nuovi tipi di attacchi alla sicurezza informatica, adotta le misure necessarie per proteggere l'ambiente di sviluppo e la supply chain per il software integrando la sicurezza sin dalle prime fasi del ciclo di sviluppo. DevSecOps combina prodotti e servizi di GitHub e Azure per favorire la collaborazione tra i team DevOps e SecOps. Usa la soluzione completa per offrire app più sicure e innovative a velocità DevOps.
Proteggi l'ambiente coinvolgendo tutti gli utenti dell'organizzazione nella creazione e nell'uso di applicazioni sicure. La sicurezza con "esecuzione anticipata dei test" implica un'attenzione particolare alla sicurezza sin dalle prime fasi del processo di sviluppo, dalla pianificazione allo sviluppo, alla creazione dei pacchetti fino alla distribuzione. Rileva automaticamente le potenziali vulnerabilità di sicurezza in fase di revisione del codice integrando la sicurezza nel flusso di lavoro degli sviluppatori grazie a Microsoft Visual Studio e GitHub.
Acquisisci un migliore controllo della supply chain per il software quando usi codice di terze parti e software open source per le tue applicazioni. Sviluppa in modo sicuro con prodotti e servizi di Azure e GitHub che controllano il codice nell'ambiente di produzione e analizzano i componenti di terze parti in uso per garantire una maggiore sicurezza.
Usa un ampio set di servizi di Azure che rendono più semplice e sicura la gestione dell'applicazione. Esegui il codice in piattaforme applicative gestite, tra cui Kubernetes, e usa servizi affidabili per gestire le chiavi, i token e i segreti in modo più sicuro. Incrementa la fiducia nella sicurezza dell'ambiente grazie ai criteri. Contribuisci ad assicurare operazioni sicure con le soluzioni di monitoraggio in tempo reale per le applicazioni e l'infrastruttura.
Proteggi l'applicazione, il codice e l'infrastruttura con un controllo di accesso rigoroso. Azure offre servizi di gestione delle identità leader di settore per gli utenti interni dell'organizzazione e per i consumer esterni che accedono alle tue applicazioni. Usa la piattaforma per la gestione delle identità e gli strumenti DevSecOps per proteggere l'accesso al codice in GitHub, gestire in modo granulare le autorizzazioni per le risorse di Azure e offrire servizi di autenticazione e autorizzazione per le applicazioni.
Sfrutta un set completo di prodotti e servizi oppure scegli solo quelli che ti servono
Ottieni funzionalità avanzate che consentono di proteggere il codice, le dipendenze e i segreti dell'app, disponibili per GitHub e Azure DevOps
- Identifica le vulnerabilità nel codice con CodeQL, il motore di analisi semantica del codice leader di settore.
- Identifica e correggi i problemi di sicurezza nelle dipendenze usando Dependabot per gli avvisi di sicurezza e gli aggiornamenti automatici della sicurezza.
- Ricevi notifiche e blocca automaticamente i push in cui viene eseguito per errore il commit delle credenziali nel controllo del codice sorgente con l'analisi dei segreti.
Crea in tutta sicurezza immagini del contenitore pronte per la produzione con tracciabilità end-to-end completa. Grazie all'uso di DependabotAzure Pipelines per l'integrazione e il recapito continuo, il codice viene compilato e inserito in pacchetti in un contenitore Docker a ogni commit e viene distribuito automaticamente in un ambiente di test. Puoi risalire a commit, elementi di lavoro e artefatti di ogni immagine per ottenere informazioni su tutto il codice in esecuzione nell'ambiente.
Usa GitHub Actions per automatizzare ed eseguire flussi di lavoro software in qualsiasi evento GitHub, ad esempio push, creazione di problemi o una nuova versione. Combina e configura le azioni per i servizi usati e risparmia tempo con i flussi di lavoro della matrice che eseguono contemporaneamente test su più sistemi operativi. Crea, testa e distribuisci codice con il supporto di qualsiasi linguaggio scelto.
Compila, archivia, proteggi, analizza, replica e gestisci immagini e artefatti del contenitore con Registro Azure Container. Identifica le immagini del contenitore vulnerabili nei flussi di lavoro CI/CD con l'analisi automatica con Microsoft Defender per il cloud.
Inizia con la configurazione sicura dell'infrastruttura cloud come codice (IaC) con Azure Resource Manager (ARM) o altri modelli per eseguire rapidamente l'onboarding degli sviluppatori con un carico di lavoro minimo. Applica configurazioni basate su modelli che garantiscono una sicurezza coerente in tutta l'organizzazione, abbinate all'analisi dei modelli IaC di Microsoft Defender per il cloud per ridurre al minimo le configurazioni errate del cloud che raggiungono gli ambienti di produzione.
Distribuisci il cluster AKS direttamente dalla pipeline di CI/CD usando soluzioni di tipo infrastruttura distribuita come codice, ad esempio Terraform.
Usa Criteri di Azure con AKS per garantire la conformità delle operazioni.
Archivia e gestisci in modo sicuro chiavi, certificati, token e altri segreti con Azure Key Vault in modo che le applicazioni possano caricarle in fase di esecuzione evitando il rischio di includere chiavi all'interno del codice delle applicazioni. Rafforza la sicurezza rispettando lo standard FiPS 140-2 Livello 2 e Livello 3 importando e generando chiavi nei moduli di sicurezza hardware (HSM).
Adotta la combinazione con l'analisi dei segreti di GitHub Advanced Security o GitHub Advanced Security for Azure DevOps per ottenere la protezione dalle vulnerabilità causate dal push dei segreti nei repository di codice.
Se stai creando un'app rivolta all'esterno o un'app line-of-business interna, usa Microsoft Entra ID (in precedenza Azure AD) per gestire le identità e il controllo di accesso.
Elimina la necessità di gestire i segreti dell'entità servizio di Azure e altre credenziali cloud nell'archivio di segreti di GitHub con le funzionalità di federazione delle identità del carico di lavoro di Microsoft Entra ID (in precedenza Azure AD). Gestisci tutto l'accesso alle risorse cloud in modo più sicuro in Azure. Queste funzionalità riducono al minimo il rischio di tempo di inattività del servizio a causa della scadenza delle credenziali in GitHub.
Autentica gli utenti nella directory dell'organizzazione e sfrutta le funzionalità avanzate per la sicurezza, tra cui autenticazione a più fattori, Microsoft Entra ID (in precedenza Azure AD) Identity Protection e report delle attività anomale.
Proteggi l'accesso alle risorse di Azure e al portale di Azure grazie al controllo degli accessi in base al ruolo granulare.
Gestisci l'accesso alle applicazioni Business to Consumer per gli utenti esterni con Microsoft Entra ID (in precedenza Azure AD) B2B.
Monitora l'applicazione e l'infrastruttura in tempo reale usando Monitoraggio di Azure. Identifica i problemi con il codice e le attività e le anomalie potenzialmente sospette.
Monitoraggio di Azure si integra con le pipeline di versione in Azure Pipelines per abilitare l'approvazione automatica delle attività di controllo della qualità o il rollback della release in base ai dati del monitoraggio.
Microsoft Defender per il cloud valuta, protegge e difende continuamente i carichi di lavoro di Azure, locali o multi-cloud e la postura di sicurezza. Offri visibilità completa sull'inventario DevOps e sulla postura di sicurezza delle configurazioni del codice dell'applicazione e delle risorse di pre-produzione.
Scopri come proteggere tutti gli ambienti DevOps aziendali
Esplora la configurazione sicura ideale degli strumenti e delle procedure DevOps aziendali. Questo e-book è incentrato in particolare sulla protezione avanzata per sviluppatori, piattaforme DevOps e ambienti applicativi.
Prodotti correlati
Visual Studio Code
Un editor di codice leggero e avanzato per lo sviluppo cloud.
Azure DevOps
Servizi per i team per condividere codice, tenere traccia del lavoro e distribuire software.
GitHub Enterprise
Offri l'innovazione su larga scala usando in modo sicuro codice e procedure consigliate open source nei progetti aziendali.
Azure Key Vault
Controlla e proteggi chiavi e altri dati segreti.
Microsoft Entra ID (in precedenza Azure Active Directory)
Sincronizza le directory locali e abilita l'accesso Single Sign-On.
Monitoraggio di Azure
Visibilità completa su applicazioni, infrastruttura e rete.
Microsoft Defender per il cloud
Proteggi i tuoi ambienti ibridi e multi-cloud.
GitHub Advanced Security per Azure DevOps
Analisi di codice, segreto e dipendenza nativa del flusso di lavoro dello sviluppatore.
DevSecOps in Azure
Se la tua azienda archivia dati personalizzati o client, sviluppa soluzioni che includano la gestione e l'interfaccia di questi dati con particolare attenzione alla sicurezza. DevSecOps utilizza le procedure consigliate per la sicurezza fin dalle prime fasi dello sviluppo, invece di eseguire il controllo alla fine, usando di fatto una strategia di sicurezza con esecuzione anticipata dei test.
I clienti possono distribuire funzionalità innovative in modo sicuro grazie a DevSecOps
Gjensidige mette la sicurezza al centro della nuova piattaforma applicativa
Gjensidige usa gli strumenti DevSecOps per aiutare gli sviluppatori a scrivere codice più sicuro, adottare le procedure consigliate per la sicurezza e rispondere rapidamente alle vulnerabilità della catena di approvvigionamento software.
Riduzione dei tempi di distribuzione in tutta sicurezza e alla velocità di DevOps
Per ottimizzare i tempi di distribuzione, CDT ha implementato Azure e GitHub per i processi DevSecOps, l'integrazione continua/distribuzione continua e l'infrastruttura. I team possono ora collaborare e rilasciare il codice in modo più rapido e sicuro.
Consulenza IT, offerta da DevSecOps
"Come parte delle procedure consigliate per DevSecOps, è consigliabile usare la piattaforma, i metodi e GitHub DevSecOps come parte fondamentale di questo ecosistema. Man mano che i processi dei nostri clienti maturano, prevediamo un uso sempre maggiore di GitHub Enterprise."
Naresh Choudhary, Vice President of Reuse and Tools, Infosys
Adozione del concetto di sicurezza come parte integrante della cultura aziendale con DevSecOps
"La cultura dell'azienda è stata creata dalle comunicazioni e dalle interazioni in cui la sicurezza è responsabilità di tutti. Indipendentemente dal fatto che tu sia un tecnico o un product manager, devi preoccuparti della sicurezza, proprio come per la funzionalità e la qualità del prodotto."
Emilio Escobar, Chief Information Security Officer, Datadog
Introduzione a DevSecOps
Scopri come abilitare DevSecOps con GitHub e Azure.
Possiamo iniziare quando vuoi
Passiamo alla configurazione del tuo account Azure gratuito.