DevSecOps
在信任平台上建置安全的應用程式。在開發人員工作流程中內嵌安全性,並促進開發人員、安全從業人員與 IT 操作員之間的共同作業。
以 DevOps 速度安全實現創新的應用程式
隨著新類型網路安全性攻擊的增加,您可以在開發週期初期整合安全性,藉以強固開發環境和軟體供應鏈。DevSecOps 結合了 GitHub 與 Azure 的產品和服務,促進 DevOps 和 SecOps 小組之間的共同作業。使用完整的解決方案,以 DevOps 速度提供更安全、創新的應用程式。
讓組織中所有人都參與到安全應用程式的建置和作業,以協助保護環境。「左移」安全性是指在最早的開發階段,從規劃到開發、封裝和部署,即考慮安全性。使用 Visual Studio 和 GitHub 將安全性整合到開發人員工作流程中,於程式碼檢閱階段自動偵測可能的安全性弱點。
針對應用程式使用協力廠商程式碼和開放原始碼軟體時,能夠更有效地控制軟體供應鏈。使用 Azure 和 GitHub 產品和服務安心開發,以在生產環境中檢查程式碼,並追蹤使用中的協力廠商元件以提高安全性。
使用各種 Azure 服務,更方便且安全地運作應用程式。在受控應用程式平台 (包括 Kubernetes) 上執行程式碼,並利用信任的服務安全地管理金鑰、權杖和祕密。使用原則來提高對您環境安全性的信賴度。使用應用程式和基礎結構的即時監視解決方案以協助確保能夠順暢且安全地進行作業。
使用嚴格的存取控制來協助保護應用程式、程式碼和基礎結構。Azure 為存取您應用程式的組織內部使用者和外部取用者,提供業界一流的身分識別服務。使用 DevSecOps 工具和身分識別平台保護 GitHub 上程式碼的存取權、更精確地管理 Azure 資源的權限,甚至為應用程式提供驗證和授權服務。
運用完整的產品和服務組合,或只選擇您需要的項目
透過全球最熱門的開發人員平台 GitHub 取得進階功能,協助您保護應用程式的程式碼和相依性。
- 使用 GitHub Advanced Security 和業界一流的語意程式碼分析引擎 CodeQL 來識別程式碼中的弱點。
- 使用適用於安全性警示和自動化安全性更新的 Dependabot 識別並補救相依性的安全性問題。
- 在您誤將認證和權杖使用祕密掃描認可到原始檔控制時,收到警示。
自信地建立具有完整端對端可追蹤性的生產就緒容器映像。使用 Azure Pipelines 進行持續整合和持續傳遞 (CI/CD),程式碼會被編譯並封裝到每個認可的 Docker 容器中,並自動部署到測試環境。追蹤每個映像的認可、工作項目和成品,以了解在環境中執行的程式碼。
使用 GitHub Actions 在任何 GitHub 事件上自動化及執行軟體工作流程,例如推送、建立問題或新版本。合併並設定您所使用服務的動作,並使用同時在多個作業系統上測試的矩陣工作流程節省時間。建置、測試及部署程式碼,並支援您選擇的任何語言。
使用 Azure Container Registry 建置、儲存、保護、掃描、複寫及管理容器映像與成品。使用適用於雲端的 Microsoft Defender 自動掃描,識別 CI/CD 工作流程中易受攻擊的容器映像。
使用 Azure Resource Manager (ARM) 或其他範本,從雲端基礎結構即程式碼 (IaC) 的安全設定開始,以最少的最低效能快速讓開發人員上線。套用及強制執行範本化設定,以確保整個組織的安全性一致,並與適用於 DevOps 的 Microsoft Defender IaC 範本掃描配對,以將到達生產環境的雲端設定錯誤降至最低。
使用基礎結構即程式碼解決方案 (例如 Terraform),直接從 CI/CD 管線部署 AKS 叢集。
使用 Azure 原則與 AKS,以協助確保作業符合規範。
使用 Azure Key Vault 安全地儲存及管理金鑰、憑證、權杖及其他祕密,讓您的應用程式可以在執行階段載入金鑰,同時避免在應用程式程式碼內包含金鑰的風險。透過匯入和產生硬體安全模組 (HSM) 中的金鑰,以提升 FIPS 140-2 層級 2 與層級 3 相容性的安全性。
結合來自 GitHub Advanced Security 的祕密掃描,以避免將祕密推送到程式碼存放庫所造成的弱點。
無論您要建置外部應用程式,還是內部的企業營運應用程式,請使用 Azure Active Directory (Azure AD) 管理身分識別與存取控制。
使用 Azure AD 工作負載識別身分同盟功能,排除在 GitHub 密碼存放區中管理 Azure 服務主體秘密及其他雲端認證的需求。在 Azure 中更安全地管理所有雲端資源存取。這些功能也會將 GitHub 中認證過期造成服務停機的風險降至最低。
使用多重要素驗證、Azure AD Identity Protection 和異常活動報告等進階安全性功能,向您的組織目錄驗證使用者。
使用精確的角色型存取控制 (RBAC) 協助保護 Azure 資源和 Azure 入口網站的存取權。
使用 Azure Active Directory B2C 管理企業對消費者應用程式的外部使用者存取權。
使用 Azure 監視器即時監視應用程式和基礎結構,並找出程式碼問題和潛在的可疑活動與異常。
Azure 監視器會與 Azure Pipelines 中的發行管線進行整合,以根據監視資料自動核准品質控管或版本復原作業。
適用於雲端的 Microsoft Defender 會持續評定、保護及防護 Azure、內部部署或多雲端工作負載和安全性狀態。整合適用於 DevOps 的 Microsoft Defender,以提供 DevOps 庫存的完整可見度,以及進入生產階段前應用程式程式碼與資源設定的安全性狀態。
了解如何保護您所有的企業 DevOps 環境
探索 Enterprise DevOps 工具和做法的理想安全設定。本電子書特別著重於強化開發人員、DevOps 平台和應用程式環境。
相關產品
Visual Studio Code
適合雲端開發,功能強大的輕量型程式碼編輯器
Azure DevOps
供團隊分享程式碼、追蹤工作及送出軟體的服務
GitHub Enterprise
安全地將開放原始碼和最佳做法應用到企業專案,以大規模地進行創新。
Azure Key Vault
保護並維護金鑰及其他祕密的控管
Azure Active Directory
同步處理內部部署目錄和啟用單一登入
Azure 監視器
可完整觀察您的應用程式、基礎結構和網路
資訊安全中心
保護您的多雲端與混合式環境
適用於 DevOps 的 Microsoft Defender
使用統一可見度與原則控制來橋接安全性與開發小組
Azure 中的 DevSecOps
如果企業要儲存自訂或用戶端資料,請開發解決方案以涵蓋此資料的管理和介面,並將安全性納入考慮。DevSecOps 從初始開發即運用安全性最佳做法,而不是在結束時使用提早測試策略進行稽核。
客戶使用 DevSecOps 安全實現創新
Gjensidige 將安全性置於新應用程式平台的前端和中心
Gjensidige 使用 DevSecOps 工具,以協助開發人員撰寫更安全的程式碼、採用安全性最佳做法,並快速回應軟體供應鏈弱點。
以 DevOps 速度安全縮短部署時間
為改善部署時間,CDT 針對其 DevSecOps 程序、CI/CD 和基礎結構實作了 Azure 和 GitHub。現在他們的小組可以更快且更安全的方式共同作業及發行程式碼。
IT 諮詢,由 DevSecOps 提供技術支援
Naresh Choudhary,Infosys 再利用和工具副總裁"As part of the best practices for DevSecOps, we recommend our DevSecOps platform, methods, and GitHub as a key part of this ecosystem. As our customers' processes mature, we expect to see more and more use of GitHub Enterprise."
採用 DevSecOps 作為公司的安全性文化
Emilio Escobar,Datadog 資訊安全長"The culture of the company has been built from communication and interactions where security is everyone's responsibility. Whether you're an engineer or you're a product manager, you have to care about security, just like you have to care about the functionality and quality of the product."
