DevSecOps

Integrera säkerhet i varje aspekt av livscykeln för programvaruleverans.

Läs dokumentationen

Utforska Microsofts produkter och tjänster som aktiverar säker DevOps

Team som skapar och driver program står inför nya, svåra utmaningar varje dag i och med att cyberhot är på frammarsch. Ta reda på mer om hur Microsoft erbjuder en fullständig lösning för att aktivera DevSecOps, eller säker DevOps, för appar i molnet (och överallt) med Azure och GitHub.

Att skapa och använda säkra program är en insats som krävs av alla, när det gäller allt från utveckling till supportåtgärder.

Säkerhetsbegreppet ”shifting-left” kräver att du ger teamen möjlighet att involvera säkerhetstänk från de tidiga stegen för planering, utveckling, paketering och distribution av programmet.

Även om det handlar lika mycket om en kulturskiftning som om verktyg kan Microsoft hjälpa till med produkter och tjänster från Azure och GitHub.

Nästan alla nya program konstrueras med kod som skrivits av tredje part, däribland komponenter med öppen källkod, åtminstone i vissa formulär. Även om detta ger tydliga fördelar, vilket ger högre produktivitet och bättre samarbete, skapar det också utmaningar kring styrning och skydd av programvarukedjan.

Microsoft och GitHub erbjuder lösningar för att ge dig förtroende för den kod som du kör i produktion genom att inspektera koden och göra det möjligt att spåra den till arbetsobjekt och insikter om de komponenter från tredje part som används.

Med Azure kan du utnyttja en omfattande uppsättning tjänster som gör ditt program smidigare och säkrare.

Kör koden på hanterade programplattformar, inklusive Kubernetes, och utnyttja betrodda tjänster för att hantera dina nycklar, token och hemligheter på ett säkert sätt. Öka säkerheten i din miljö med principer. Säkerställ sedan smidiga och säkra åtgärder genom att dra nytta av övervakningslösningar i realtid för dina program och din infrastruktur.

Tät åtkomstkontroll är det vanligaste steget för att skydda programmet, koden och infrastrukturen. Azure erbjuder ledande identitetstjänster, både för användare i din organisation och för externa användare som har åtkomst till dina program.

Använd vår identitetsplattform för att skydda åtkomsten till din kod på GitHub, hantera behörigheter för Azure-resurser i detalj och till och med erbjuda autentiserings- och autentiseringstjänster för dina program.

Utnyttja en komplett uppsättning produkter och tjänster från slutpunkt till slutpunkt

Eller välj bara de som är mest relevanta för dig

Säkra program startar med säker kod, men att skydda din kod är ofta inte tillräckligt. Det är lika viktigt att du hanterar din programvarukedja med förtroende som att du ser till att din kod är säker.

GitHub, världens populäraste utvecklingsplattform, erbjuder avancerade funktioner som hjälper dig att skydda appens kod och beroenden:

  • GitHub Advanced Security utnyttjar CodeQL, branschens ledande analysmotor för semantisk kod, för att identifiera sårbarheter i din kod.
  • Identifiera och åtgärda säkerhetsproblem i dina beroenden med hjälp av säkerhetsaviseringar och automatiska säkerhetsuppdateringar (Dependabot).
  • Få aviseringar med genomsökning av hemligheter när autentiseringsuppgifter och token av misstag checkas in till källkontroll.

Med Azure Pipelines för kontinuerlig integrering kompileras din kod och paketeras i en Docker-container på varje genomförande och distribueras automatiskt till en testmiljö med Azure Dev Spaces.

Dessutom gör de kontinuerliga leveransmöjligheterna i Azure Pipelines att du på ett säkert sätt kan bygga färdiga containeravbildningar med heltäckande spårbarhet. Du kan gå tillbaka till genomföranden, arbetsobjekt och artefakter för varje avbildning för att förstå all kod som körs i din miljö.

Avbildningar av produktionscontainrar lagras på Azure Container Registry, där de genomsöks automatiskt efter sårbarheter tack vare integreringen med Azure Security Center.

AKS erbjuder ett Kubernetes-kluster som underhålls och skyddas av Microsoft.

Du kan distribuera ditt AKS-kluster direkt från din CI/CD-pipeline, med lösningar för infrastruktur som Terraform.

Integrera Azure Policy med AKS för att säkerställa att åtgärderna är kompatibla.

I utvecklings- och testmiljöer kan Azure Dev Spaces tillhandahålla ett test-Kubernetes-kluster för varje version och som svar på en pull-begäran.

Dina program kan utnyttja Azure Key Vault för att säkert lagra nycklar, certifikat, token och andra hemligheter, så att dina program kan läsa in dem vid körning. Det här är ett säkrare alternativ än att inkludera dem i programkoden.

Oavsett om du bygger en extern app eller en intern verksamhetsspecifik verksamhet kan du utnyttja Azure Active Directory (Azure AD) för att hantera identitets- och åtkomstkontroll på ett säkert sätt.

Använd Azure AD för att autentisera med din organisations katalog, med hjälp av avancerade säkerhetsfunktioner som Multi-Factor Authentication, Identity Protection och rapporter för avvikande aktivitet.

För externa appar kan du med Azure AD B2C enkelt hantera autentisering och auktorisering av externa användare, även genom att använda sociala konton.

Azure AD skyddar också åtkomsten till dina Azure-resurser och Azure-portalen, tack vare den rollbaserade åtkomstkontrollen.

Med Azure Monitor kan du övervaka både ditt program och din infrastruktur i realtid och identifiera problem med koden och potentiella misstänkta aktiviteter och avvikelser.

Azure Monitor integreras med lanseringspipelines i Azure Pipelines för att möjliggöra automatiskt godkännande av kvalitetskontroller eller versionsåterställning baserat på övervakningsdata.

Läs mer om produkter och tjänster i DevSecOps

Intresserad av DevOps? Visa DevOps-lösningarna från Microsoft

Läs mer

DevSecOps i Azure

Säkerhet är ett viktigt område för företag som lagrar alla sorters anpassade data eller klientdata. Lösningen som täcker hantering och gränssnitt för dessa data bör utvecklas med säkerhet i åtanke. DevSecOps innebär att rekommenderade säkerhetsmetoder används i början av utvecklingen, vilket växlar fokus för säkerheten från granskning i slutskedet mot utveckling i startskedet med en ”shift-left”-strategi

Är du redo att komma igång med DevSecOps?

Läs dokumentationen