קוד מאובטח 2023
המאמר הבא מסביר בקצרה מה זה קוד מאובטח, וכן סוקר את הפתרונות שאנו מציעים בנושא.
נוסף לכלי פיתוח ופתרונות DevOps, אנו מציעים מגוון פתרונות של פיתוח מאובטח
וסיוע באבטחת אפליקציות בענן (AppSec).
אנו מציעים פתרון מקצה לקצה הכולל אפיון, תכנון, עזרה בבחירת כלים מתאימים, הטמעה, אינטגרציה לכלים ולתהליכי פיתוח, תמיכה / שירות מנוהל ומכירת רשיונות.
בהמשך המאמר פירוט של כלים, שירותים והדרכות שאנו מציעים.
לפרטים נוספים פנו אלינו: devsecops@almtoolbox.com או טלפונית: 072-240-5222
מקרא:
מה זה קוד מאובטח?
קוד מאובטח הוא אוסף שיטות לפיתוח תוכנה באופן בטוח ומאובטח כחלק מהפיתוח עצמו (ולא בנפרד),
כך שאבטחת המידע תשתלב במהלך הפיתוח (ולא בסופו).
לפיתוח קוד מאובטח כמה מטרות, וביניהן:
- זיהוי מהיר של באגים ("Shift Left")
- הגנה על המשתמשים באפליקציה שאנו מפתחים
- קוד מאובטח להגנה מול משתמשים לא מורשים
- הגנה על תהליכי הפיתוח, הבניה והאינטגרציה של המוצר
רשימת כלים לפיתוח קוד מאובטח שאנו משווקים ותומכים בהם:
אנו נוכל לעזור לכם בבחירת הכלים המתאימים לכם ביותר, בהתאם לדרישות שלכם, לסביבה ולתקציב שלכם.
- SonarQube (סריקת קוד סטטי, SAST, עזרה בכתיבת קוד נקי ומאובטח ב- 29 שפות קוד).
אנו מציעים גם תמיכה ושירות מנוהל. מידע נוסף כאן. - GitLab + GitLab CI (אוסף כלים לקוד מאובטח כחלק מתהליך הפיתוח:
,SAST, DAST, API, SCA, Secret Detection , Container scanning, Fuzz Scanning)
אנו מציעים גם תמיכה ושירות מנוהל. מידע נוסף כאן. - HashiCorp Vault (ניהול סודות / Secrets Management)
- AppScan (פתרון DAST לאבטחת אפליקציות כולל API Security)
- HashiCorp Consul (פתרון Service Discovery ו- Service Mesh)
- Vault Plus (פתרון לניהול secrets מבוסס Vault open source)
- Sysdig (ניטור ואבטחה של קונטיינרים ו- Kubernetes ; אפשרות ל- Prometheus מנוהל)
- Fossa (פתרון SCA ל- Vulnerability management ו- License Compliance לספריות קוד פתוח)
- SourceGraph (פתרון שנותן התראות על חולשות בקוד, ומאפשר תיקון אוטומטי בכל הקוד)
- SonarCloud (פתרון SaaS (ענן) לסריקת קוד סטטי)
- SonarLint (תוסף חינמי ל- IDEs)
- Secrets Management solutions (on-prem / SaaS / Hybrid)
- HashiCorp Boundary – Secure Remote Access – גישה מאובטחת מרחוק (תחליף מודרני ל- VPN)
- LastPass – Password Management – ניהול סיסמאות
- Solo (פתרון Service Mesh ותמיכה ל- Istio)
- Venafi (ניהול תעודות / Certificate Management)
- Mattermost (צ'אט מאובטח לסביבות פיתוח / אלטרנטיבי ל- Slack ו- WhatsApp)
- GitHub Advance Security (אוסף כלים לפיתוח מאובטח מעל GitHub)
- Atlassian Access (פתרון גישה מאובטחת ו- SSO ל- Jira, Confluence, Bitbucket ו- Altassian add-ons)
- Azul (עדכוני אבטחה ל- Java ותמיכה ב- Java)
- Terraform (כולל Drift Detection)
- Spacelift – מוצר למפתחים ואנשי security, המזהה Drift Detection ב- Terraform, AWS CloudFormation Pulumi, ומציע דרכים לתיקונו
לפרטים נוספים פנו אלינו: devsecops@almtoolbox.com או טלפונית: 072-240-5222
רשימת שירותים ופתרונות שאנו מציעים סביב פיתוח קוד מאובטח:
- תכנון ובניית תהליכי פיתוח, תהליכי DevOps ותהליכי CI/CD הכוללים פיתוח מאובטח
- עזרה בפיתוח קוד מאובטח סביב GitLab (כולל החינמי) – כולל תהליכי CI וכולל CI מאובטח
- עזרה בפיתוח קוד מאובטח סביב GitHub – כולל תהליכי CI וכולל CI מאובטח
- פיתוח תהליכי פיתוח מאובטחים סביב git (כגון הגנה על repositories ממשתמשים לא מורשים)
- מימוש דרך כלי SCM כמו כמו GitHub , GitLab, Bitbucket, SonarQube,
- מימוש בעזרת כלי סריקת קוד / אפליקציות כמו SonarQube, SonarCloud, GitLab , Fossa, Vault,
- מימוש דרך כלי CI כמו GitHub actions, GitLab CI/CD, Azure Devops, Jenkins
- מגוון פתרונות לניהול סודות (למידע נוסף – לינק)
- פתרון מנוהל לניהול סודות באמצעות HashiCorp Vault .
- פתרון לניהול סיסמאות ארגוני כגון Lastpass, 1password
- פתרונות לגישה מאובטחת מרחוק מבוססי VPN או הדור החדש (כגון Boundary)
- שירות מנוהל של סביבת SonarQube אצלכם (Self-hosted) או בענן
- שירות מנוהל של סביבת GitLab אצלכם או בענן
- שירות מנוהל של סביבת GitHub אצלכם או בענן
- Drift Detection
לפרטים נוספים פנו אלינו: devsecops@almtoolbox.com או טלפונית: 072-240-5222
הדרכות סביב פיתוח קוד מאובטח:
אנו מציעים מגוון הדרכות בנושא – פנו אלינו: devsecops@almtoolbox.com או טלפונית: 072-240-5222
הקלטת הרצאה: טרנדים ומגמות ב- Code & Application Security
(הוקלט ב- 2022 במסגרת כנס ממר"מ)