DevOps 為近幾年常見的軟體開發模型,其精神為將開發和營運(DevOps)結合一體,但在在資安風險安全意識抬頭的今天,對於軟體開發品質的安全要求都日趨嚴格,如何在DevOps 軟體開發文化中融入資訊安全的觀點,這對DevOps 開發流程中是一個挑戰。在DevOps 加速迭代的軟體版本週期時,在「持續整合」(Continuous Integration, CI)、「持續部署」(Continuous Delivery)與「持續交付」(Continuous Deployment)中,加入資訊安全自動檢測環節,即可在軟體開發初期,使開發人員及維運人員可更迅速的了解問題所在,大幅提升產品品質。
為了將資訊安全融入DevOps 開發流程內,提出III DevOps 工具解決方案,其核心軟體以開源軟體為基礎,平台亦選取開源軟體的授權條款進行授權。
其目的為將資訊安全檢測工具融入在 CI/CD 開發流程內,於軟體開發過程中,開發者上傳原始碼後,即可自動化進行檢測,包含原始碼掃描及弱點掃描等資安檢測,由於傳統資安檢測工具十分耗時,使用者可設定於特定情況(如特開發分支有進行合併)下才進行相關特定功能檢測服務,可同時維持DevOps 開發流程並也可持續進行資安檢測。並且可自動化將檢測結果回傳於平台,讓使用者快速了解目前軟體開發的品質及狀況,以利開發者於軟體初期即可檢視相關問題,可避免過去檢測模式,只在產品最後檢測階段發現問題,卻以為時已晚,或要花費極大物力人力才能改進的問題。
簡易描述其功能特色如下:
1. 兼具軟體工程、CI/CD 及專案管理需求:整合了Gitlab、jenkins、Rancher、Redmine、Postman…等多項開源方案。
2. 平台提供多角色功能:有三個主要使用角色、包含系統管理員、專案經理及開發人員。提供各角色專屬的管理介面及工具。
3. 底層開源工具與使用者介面相互切換:使用者可直接使用III DevOps 平台提供的介面,若本身習慣開源工具者,如 Gitlab、Redmine 等,亦可選擇直接使用底層開源工具
4. 全平台容器化:系統元件及系統皆部署在Kubernetes上,可支援橫向擴展
5. 支持多元環境佈署:針對不同的開發語言、framework、執行環境,提供可選用的快速佈署的服務。
6. 彈性加值功能服務:平台提供系統介接介面,以介接外部工具,如資訊安全檢測工具(Checkmarx CxSAST、Fortify WebInspect、SonarQube),發展出特化模式或豐富生態系的經營型態。
7. 強化 DevOps 自動化運作:可將依據使用者自行設定彈性加值服務,自動化將檢測結果轉成待處理項目提供給開發者,符合DevOps 開發流程,自動完成循環作業。
更多資訊請參閱 www.iiidevops.org