Безопасность приложений
DevSecOps
Также известно как: SecDevOps, Rugged DevOps
Определение
Культура и практики, встраивающие ответственность за безопасность в процессы DevOps, чтобы команды непрерывно и быстро выпускали безопасное ПО.
Примеры
- Запуск Trivy, Semgrep и Gitleaks на каждом pull request в конвейере GitHub Actions.
- Применение policy-as-code через OPA/Conftest к планам Terraform до их выполнения.
Связанные термины
Безопасность приложений (AppSec)
Дисциплина проектирования, разработки, тестирования и эксплуатации ПО, обеспечивающая его устойчивость к злоупотреблениям, подделке и несанкционированному доступу на протяжении всего жизненного цикла.
Безопасный жизненный цикл разработки ПО (SSDLC)
Жизненный цикл разработки, в котором деятельности по безопасности встроены в каждую фазу — от требований и проектирования до кодирования, тестирования, релиза и эксплуатации.
Shift-Left Security
Подход, при котором действия по безопасности перемещаются на более ранние стадии жизненного цикла ПО, чтобы выявлять и исправлять уязвимости до выхода в продакшен.
SAST (Static Application Security Testing)
Автоматический анализ исходного кода, байт-кода или бинарных файлов без их выполнения для поиска уязвимостей вроде инъекций, небезопасных API или слабой криптографии.
SCA (Software Composition Analysis)
Автоматический анализ open-source и сторонних компонентов приложения для выявления известных уязвимостей, лицензионных рисков и устаревших или опасных зависимостей.
Secure Coding
Secure Coding — definition coming soon.