Перевод Agile Application Security: Enabling Security in a Continuous Delivery Pipeline by O’Reilly Media
--
Книга посвящена безопасной разработке в современных компаниях, в которых применяются гибкие методологии. Она будет полезна как разработчикам, так и безопасникам. Книга разбита на 3 большие части. В первой даются основы, как безопасности, так и гибкой разработки. Во второй части (самой большой), подробно рассматриваются различные аспекты разработки ПО и безопасности. В третьей части все это собирается вместе, рассматривается культура безопасной разработки, подводятся итоги.
В общем, можно сказать, что безопасники сейчас находятся в положении системных администраторов конца 2000-х годов. Когда они стабильно не успевали за скоростью и нуждами разработки и были больше похожи на балласт. Сейчас таким тормозом являются безопасники.
Эта книга отлично подходит для того, чтобы ознакомится с современными методологиями разработки и эксплуатации. И как безопасники могут быть прозрачно и эффективно интегрированы в эти процессы. Приводятся примеры для компаний различного масштаба и реальные реализации, например в Etsy.
Через всю книгу проносится идея интеграции безопасности в разработку. Что безопасность — это не про инструменты, а про людей. Что элитизм и запреты со стороны безопасников не делает ничего, кроме отторжения и всевозможных методов их обхода. Поэтому безопасникам нужно участвовать в спринтах разработки, в проектировании продукта, встраивать безопасность в пайплайн непрерывной интеграции и поставки. Помогать разработчикам и администраторам встраивать безопасность в процесс работы с кодом и инфраструктурой, обучать их. Что абсолютной безопасности не бывает, что это непрерывный процесс, что нужно оценивать риски и возможности и фиксить то, на что хватает ресурсов. Но и не забывать про тех. долг по безопасности.
И самый оптимальный вариант реализации — это когда люди в команде сами достаточно разбираются в обеспечении безопасности того, над чем они работают, а безопасники их консультируют при необходимости и занимаются встраиванием безопасности в процессы, мониторингом и обучением.
Полезные ссылки из книги:
- Документ от Adobe про построение культуры безопасной разработки
- Стандарт Application Security Verification Standard (ASVS) от OWASP;
- DevOps Audit Defense Toolkit — туториал от IT Revolution про то, как благодаря процессам непрерывной интеграции и поставки достигается непрерывное соответствие требованиям аудита.
P.S. Хоть в книге и есть “дикие” места в переводе на русский, например “посмертный анализ без поисков виновного”, но в основном переведено хорошо, и очень уже большой дичи нет.
P.P.S. Под безопасниками в книге понимаются люди, занимающиеся информационной безопасностью.
