This is the Trace Id: 431e98c8b3659cd35ed48a8f507e1afb
דלג לתוכן הראשי מדוע כדאי לבחור האבטחה של Microsoft אבטחת סייבר מבוססת על AI אבטחה בענן אבטחה ופיקוח של נתונים זהויות וגישה לרשת פרטיות וניהול סיכונים אבטחה עבור AI SecOps מאוחדים אפס אמון Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel Microsoft Security Copilot מזהה Microsoft Entra ‏(Azure Active Directory) מזהה סוכן Microsoft Entra מזהה חיצוני ב-Microsoft Entra ניהול מזהה Microsoft Entra הגנה למזהה Microsoft Entra גישה ל-Microsoft Entra דרך האינטרנט גישה פרטית ל- Microsoft Entra ניהול הרשאות ב- Microsoft Entra מזהה מאומת ב- Microsoft Entra זהות עומסי עבודה של Microsoft Entra Microsoft Entra Domain Services Azure Key Vault Microsoft Sentinel Microsoft Defender for Cloud Microsoft Defender XDR Microsoft Defender עבור נקודת קצה Microsoft Defender עבור Office 365 Microsoft Defender עבור זהות יישומי ענן של Microsoft Defender ניהול חשיפה של האבטחה של Microsoft ניהול פגיעויות של Microsoft Defender בינת איומים של Microsoft Defender סוויטת Microsoft Defender ל‑Business Premium Microsoft Defender לענן Microsoft Defender Cloud Security Posture Mgmt ניהול שטח תקיפה חיצוני של Microsoft Defender GitHub Advanced Security Microsoft Defender עבור נקודת קצה Microsoft Defender XDR Microsoft Defender for Business יכולות הליבה של Microsoft Intune Microsoft Defender עבור IoT ניהול פגיעויות של Microsoft Defender Microsoft Intune ניתוח מתקדם Microsoft Intune Endpoint Privilege Management ניהול יישומים ארגוניים של Microsoft Intune עזרה מרחוק עבור Microsoft Intune Microsoft Cloud PKI תאימות תקשורת ב- Microsoft Purview מנהל התאימות ב- Microsoft Purview ניהול מחזור החיים של נתונים ב-Microsoft Purview גילוי אלקטרוני ב- Microsoft Purview ביקורת ב- Microsoft Purview ניהול סיכונים של Microsoft Priva בקשות לזכויות נושא של Microsoft Priva פיקוח על נתונים ב-Microsoft Purview חבילת Microsoft Purview ל-Business Premium היכולות של אבטחת נתונים של Microsoft Purview תמחור שירותים שותפים מודעות לאבטחת סייבר סיפורי לקוחות מבוא לאבטחה גירסאות ניסיון של המוצר הכרה בתעשייה Microsoft Security Insider דוח ההגנה הדיגיטלית של Microsoft מרכז תגובת האבטחה בלוג האבטחה של Microsoft אירועי אבטחה של Microsoft Microsoft Tech Community תיעוד ספריית תוכן טכני הדרכות והסמכות תוכנית תאימות עבור הענן של Microsoft מרכז יחסי האמון של Microsoft Service Trust Portal יוזמת עתיד מאובטח Microsoft המרכז לפתרונות עסקיים פנה למחלקת המכירות התחל גירסת ניסיון בחינם האבטחה של Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 בינה מלאכותית ב-Microsoft Azure Space מציאות משולבת Microsoft HoloLens Microsoft Viva מחשוב קוונטי קיימות חינוך כלי רכב שירותים פיננסיים ממשל שירותי בריאות ייצור קמעונאות חיפוש שותף להיות שותף רשת השותפים Microsoft Marketplace Marketplace Rewards חברות פיתוח תוכנה בלוג Microsoft Advertising מרכז מפתחים תיעוד אירועים רישוי Microsoft Learn המחקר של Microsoft הצג את מפת האתר

מהו DevSecOps?

למד כיצד לשלב שיטות אבטחה בכל שלב של מחזור החיים של פיתוח התוכנה בסביבה עם ריבוי שירותי ענן.

לגלות את Microsoft Defender עבור DevOps

DevSecOps מוגדר

DevSecOps, שמציין פיתוח, אבטחה ותפעול, הוא מסגרת שמשלבת אבטחה בכל השלבים של מחזור החיים של פיתוח התוכנה. ארגונים מאמצים גישה זו כדי להפחית את הסיכון לשחרור קוד באמצעות פגיעויות אבטחה. באמצעות שיתוף פעולה, אוטומציה ותהליכים ברורים, הצוותים חולקים את האחריות לאבטחה, במקום להשאיר אותה לסוף כאשר בעיות יכולות להיות הרבה יותר קשות ויקרות לטיפול. DevSecOps הוא רכיב קריטי של אסטרטגיית אבטחה לשירותים מרובי ענן.

DevSecOps לעומת DevOps

בפיתוח תוכנה מסורתי, פרויקטים מפוצלים לשלבים שונים לתכנון, עיצוב, פיתוח, שילוב ובדיקה, המתרחשים ברצף במשך כמה חודשים או אפילו שנים. למרות שגישה זו שיטתית מאוד, ארגונים רבים מצאו שהיא איטית מדי, מה שמקשה על העמידה בציפיות של הלקוחות לשיפורים רציפים במוצר. בנוסף, האבטחה בדרך כלל נשארת לטיפול לסוף, מה שמציב חברות בסיכון להפרה.

כדי להישאר תחרותי, חברות רבות אימצו מודל DevOps שמתעדף מסירה של מנות קטנות יותר של קוד באיכות גבוהה ולא פרויקטים עשירים בתכונות שלוקחות זמן רב יותר. במסגרת זו, צוותי פיתוח תוכנה ותפעול משתפים פעולה כדי לשלב בדיקות ושילוב לאורך כל התהליך. אוטומציה, תהליכים סטנדרטיים ושיתוף פעולה עוזרים לצוותים לנוע במהירות מבלי לפגוע באיכות.

DevSecOps הוא שיפור ב- DevOps שבונה אבטחה בכל היבטי התהליך. המטרה היא לטפל בבעיות אבטחה מתחילת הפרויקט. במסגרת זו, לא רק שהצוות כולו לוקח אחריות על הבטחת איכות ושילוב קוד, אלא גם אבטחה. בפועל, המשמעות היא שהצוותים דנים בהשלכות האבטחה במהלך התכנון ומתחילים לבדוק בעיות אבטחה בסביבות פיתוח, במקום לחכות לסוף. שם אחר עבור גישה זו הוא אבטחת shift left.

מדוע DevSecOps חשוב?

קיימות שיטות רבות שבהן התוקפים משתמשים כדי לקבל גישה לנתונים ולנכסים של ארגון, אך שיטה נפוצה היא לנצל פגיעויות תוכנה. הפרות מסוג זה הן יקרות, גוזלות זמן, ובהתאם לחומרה, פוגעות במוניטין של החברה. המסגרת של DevSecOps מפחיתה את הסיכון של פריסת תוכנה עם הגדרות שגויות ופגיעויות אחרות ששחקנים גרועים יכולים לנצל.

רכיבי מפתח של DevSecOps

תהליך מוצלח של DevSecOps כולל את הרכיבים הבאים:

שילוב רציף

עם שילוב רציף, מפתחים מחייבים את הקוד שלהם למאגר מרכזי מספר פעמים ביום. לאחר מכן הקוד משולב ונבדק באופן אוטומטי. גישה זו מאפשרת לצוותים ללכוד בעיות שילוב ובאגים בשלב מוקדם בתהליך במקום להמתין לסוף כאשר קיימות מספר בעיות שיש לפתור.

הספקה רציפה

הספקה רציפה מתבססת על שילוב רציף כדי להפוך את התהליך של העברת קוד מתוך סביבת ה- Build לסביבת אחסון זמני. לאחר אחסון זמני, בנוסף לבדיקת יחידות, התוכנה נבדקת באופן אוטומטי כדי לוודא שממשק המשתמש פועל, הקוד משולב בהצלחה, וממשקי API הם מהימנים ושהתוכנה יכולה לטפל באמצעי האחסון הצפויים של התעבורה. המטרה של גישה זו היא לספק באופן עקבי קוד מוכן לייצור שמספק ערך ללקוחות.

אבטחה רציפה

בניית אבטחה במחזור החיים כולו של פיתוח תוכנה היא רכיב מפתח של DevSecOps. הדבר כולל מידול איומים בשלב מוקדם בתהליך ובדיקות אבטחה אוטומטיות לאורך כל מחזור החיים, החל מסביבות של מפתחים. על ידי בדיקה יסודית של התוכנה עבור בעיות אבטחה מוקדם ותכוף, ארגונים יכולים לספק תוכנה ביעילות עם מינימום בעיות.

תקשורת ושיתוף פעולה

DevSecOps תלוי מאוד באנשים ובצוותים שעובדים יחד בשיתוף פעולה. שילוב רציף דורש מאנשים לשתף פעולה כדי לטפל בהתנגשויות בקוד, וצוותים צריכים לקיים תקשורת ביעילות כדי לעמוד באותן מטרות.

כיצד ליישם DevSecOps

הוספת אבטחה לתהליך DevOps שלך דורשת תכנון זהיר. התחל לאט עם תהליכים שמציגים את החיכוך הקטן ביותר עבור הצוות ומציעים את תגמול האבטחה הגדול ביותר. הנה כמה דרכים להוספת אבטחה בסבב DevOps טיפוסי.

תכנון ופיתוח

החדרת אבטחה בשלב מוקדם של סבבי פיתוח לא רק עוזרת להפחית פגיעויות בהמשך הדרך, אלא גם חוסכת זמן מכיוון שקל יותר לטפל בבעיות לפני שהקוד נבנה והוטמע. במהלך תכנון ופיתוח, השתמש במידול איומים כדי לזהות ולצמצם איומים פוטנציאליים לאפליקציה. פעולה זו תסייע לך לבנות אבטחה באפליקציה ישירות מההתחלה. כדי לחשוף בעיות אבטחה לפני שהקוד מחויב למאגר המשותף, יישם בדיקות אוטומטיות, כגון יישומי Plug-in משולבים של אבטחה בסביבת פיתוח, אשר מספקים למפתחים משוב מידי אם קיים סיכון אבטחה פוטנציאלי בקוד שהם כתבו. במהלך סקירת קוד, בקש מאדם בעל מומחיות אבטחה לספק המלצות לביצוע שיפורים.

התחייבות קוד

אחד מהמפתחות לתהליך מוצלח של DevSecOps הוא שילוב רציף. מפתחים בדרך כלל מחייבים את הקוד שלהם למאגר מרכזי מספר פעמים ביום כדי להבטיח שבעיות שילוב יתפסו מוקדם. חשוב להוסיף בדיקות אבטחה אוטומטיות לשלב זה. הדבר יכול לכלול סריקת ספריות ויחסי תלות של ספקים חיצוניים, בדיקת יחידות ובדיקה סטטית של אבטחת יישומים. חשוב גם לפרוס פקדי גישה מבוססי תפקידים כדי להגן על השילוב הרציף ועל תשתית המסירה המתמשכת שלך מפני תוקפים המבקשים להפעיל קוד זדוני או לגנוב אישורים.

בנייה ובדיקה

הפעלת קובצי Script אוטומטיים של אבטחה בסביבת הבדיקה עוזרת לחשוף בעיות פוטנציאליות שלא זוהו בעבר. חלק מבדיקות האבטחה שבאפשרותך להפעיל במהלך שלב זה כוללות בדיקות אבטחה דינאמיות של אפליקציות, סריקת תשתית, סריקת גורמים מכילים, אימות תצורת ענן ובדיקות קבלת אבטחה.

ייצור

לאחר פריסת האפליקציה לייצור, ארגונים מסוימים מעורבים בבדיקת חדירה כדי לנסות למצוא חולשות בסביבה בשידור חי. בבדיקת חדירה, אנשים מאמצים את חשיבת התוקף ומחפשים דרכים לפרוץ את האפליקציה.

פעולה

אפילו התהליך הטוב ביותר של DevSecOps לא יתפוס הכל, ולכן חיוני לנטר אפליקציות באופן רציף כדי לאתר פגיעויות ואיומים. נתוני ניתוח יכולים לעזור לך להעריך אם מצב האבטחה שלך משתפר ומדגיש אזורים לצורך מיטוב.

כלים וטכנולוגיות של DevSecOps

בעת בחירת כלי אבטחה, חשוב לבחור כלי אבטחה שיפעלו היטב עם טכנולוגיית DevOps הנוכחית שלך. פעולה זו תסייע לך לשלב את האבטחה בתהליך כולו. להלן כמה מסוגי הכלים שאתה עשוי להזדקק להם:

תשתית כסריקת קוד

כדי לשפר את היעילות שלהם, צוותי DevSecOps משתמשים בדרך כלל בכלי קוד פתוח כמו Terraform כדי לנהל ולהקצות תשתית כגון רשתות, מחשבים וירטואליים ומאזני עומס באמצעות קוד במקום לבצע זאת באופן ידני. Terraform עוזר להבטיח שהתשתית מוגדרת ומעודכנת באופן עקבי במאות או באלפי שרתים. כדי להפחית את הסיכון שתצורות שגויות ייפרסו בסביבת הייצור, תשתית ככלי סריקת קוד בודקת אוטומטית את התשתית ברמת הקוד לאיתור אי התאמה למדיניות ולתקני אבטחה.

בדיקת אבטחת יישום סטטית

לפני שהקוד שלהם עבר הידור, מפתחי DevSecOps מתחילים לבדוק את הקוד המותאם אישית שלהם עבור פגיעויות אבטחה. פעולה זו עוזרת להם לפתור בעיות מבלי להשפיע על גרסת ה- Build. כלי בדיקות אבטחת יישומים סטטיים מקלים על תהליך זה בעזרת בדיקות אוטומטיות ומשוב בזמן אמת. כלים רבים מזהים בדיוק איזה קוד מסוכן ומציעים תיקונים מוצעים.

ניתוח קומפוזיציית תוכנה

דרך אחת שבה צוותים בונים אפליקציות ותכונות ביתר יעילות היא באמצעות יישומי Plug-in ומסגרות של ספקים חיצוניים. כלים בנויים מראש אלה חוסכים זמן, אך הם עשויים גם להציג סיכונים, כגון בעיות ברישוי, בקוד שנכתב בצורה גרועה או בפגיעויות אבטחה. כלי ניתוח של הרכב תוכנה מזהים רכיבי קוד פתוח ביישומים ומעריכים אותם מול מסדי נתונים קנייניים או חינמיים כדי לזהות הפרות רישיון ובעיות אבטחה ואיכות.

בדיקת אבטחת יישומים אינטראקטיבית

במהלך בדיקת הבטחת איכות או כאשר אפליקציה נמצאת בשימוש, כלי אבטחת אפליקציות אינטראקטיביות סורקות את הקוד כדי לאתר פגיעויות ולספק דוחות שמזהים היכן בקוד הבעיה.

בדיקת אבטחת אפליקציות דינאמיות

בדיקת אבטחת אפליקציות דינאמיות מבצעת הדמיה של השיטות ששחקן רע עשוי להשתמש בהן כדי לתקוף אפליקציה. בדיקה זו מתרחשת כאשר האפליקציה פועלת והוא מבוסס על מקרי שימוש מוגדרים מראש.

סריקת גורם מכיל

גורמים מכילים נמצאים בשימוש רב ב- DevSecOps מאחר שהם עוזרים למפתחים לפרוס בקלות יחידות קוד עצמאיות. בתוך גורם מכיל נמצאת תמונת גורם מכיל הכוללת את הקוד שמפעיל תהליכים עבור הגורם המכיל. עם זאת, תמונות אלה נבנו לעתים קרובות באמצעות תמונות קיימות או נמשכות ממאגרים ציבוריים. כלי סריקה של גורמים מכילים, סורק גורמים מכילים ומשווה אותם מול מסדי נתונים ציבוריים או קנייניים של פגיעויות כדי לחשוף בעיות אבטחה פוטנציאליות.

שיטות עבודה מומלצות של DevSecOps

DevSecOps עוסק בשינוי תרבות לא פחות מאשר בתהליך ובכלים. להלן כמה שיטות עבודה מומלצות שיעזרו לך להפוך את ההטמעה של מסגרת זו לחלקה ככל האפשר.

שנה את התרבות

זהה שאנשים מתקשים לשנות את האופן שבו הם פועלים, והתנגשויות עשויות להתעורר. כדי לעזור להם להסתגל, ציין בבירור את המטרות והציפיות של הארגון, ספק הזדמנויות רבות לתיבת דו-שיח פתוחה וצפה שתצטרך להיות גמיש עד שהצוותים ימצאו את הכלים, התהליכים והקדימות המתאימים ביותר עבורם.

הגדרת דרישות ומדדים

צור תוכנית בסיסית של אבטחה מינימלית. לקבלת הדרכה, עיין בדרישות הענף והרגולציה או ב- Open Worldwide Application Security Project® (OWASP) עשר המובילים סיכונים קריטיים המובילים ליישומי אינטרנט ול- 25 שגיאות תוכנה מובילות של SANS. לאחר הגדרת הדרישות, קבע אילו מדדים ברצונך לעקוב אחריהם כדי לעזור לך לנטר את ההתקדמות שלך.

התחל בקטן

כלי אוטומציה של אבטחה מציעים אפשרויות רבות לבדוק אם יש בעיות בקוד, אך הפעלה של כולם, במיוחד בשלב מוקדם של האימוץ של DevSecOps, עלולה להציף את הצוות שלך. היה זהיר לגבי הכלים שאתה מיישם וכמה בעיות אתה סורק.

בצע מידול איומים

פתח תהליך מידול איומים, שעשוי להיות פשוט או מפורט וטכני ככל שתצטרך. השתמש בגישה זו כדי לתעד תצוגת אבטחה מציאותית של האפליקציה שלך הכוללת:

  • כיצד תוקפים יכולים להשתמש לרעה בעיצוב האפליקציה.
  • כיצד לתקן פגיעויות.
  • עדיפות של בעיות שונות.

הטמע אוטומציה

אוטומציה היא המפתח להפיכת איכות למהירות בתהליך DevSecOps לזמינים. על-ידי הטבעת סריקות אבטחה אוטומטיות במהלך כל השלבים של השילוב הרציף ומחזור חיי המסירה הרציף, תוכל לשפר את אבטחת היישומים שלך מבלי להאט את התהליך באופן משמעותי.

ניהול יחסי תלות

רוב המפתחים משתמשים בחבילות ובספריות של ספקים חיצוניים כדי לבנות יישומים ביעילות. הבעיה היא שפתרונות מסוימים אלה כוללים ליקויי אבטחה, ומפתחים לא תמיד מקפידים להישאר מעודכנים. כדי להפחית את הסיכון שלך, ודא שהרכיבים שבהם אתה משתמש נבדקים עבור סיכוני אבטחה ופתח תהליך סטנדרטי לעדכון שלהם.

הערך ושפר

להעריך באופן קבוע את אופן הפעולה של התהליך ולהתאים אותו לפי הצורך כדי להבטיח שהארגון שלך יעמוד ביעדים שלו. לאחר ביטול ההשלמה של סבב, ללא הגנה, תוכל לסייע בחשיפה של הזדמנויות לשיפור. ניתוח נתונים ובינת איומים יכולים גם לעזור לך לקבוע אם הגישה הנוכחית שלך אינה עומדת בדרישות האבטחה.

DevSecOps עבור יישומים מקוריים בענן

יישומים מקוריים בענן מתוכננים עבור הענן ובדרך כלל הם ניטראליים מבחינת הספק, ומאפשרים להם להתנייד מענן אחד לאחר. צוותי פיתוח, שתוכננו להיות מדרגיים וגמישים במיוחד, בדרך כלל בונים אותם באמצעות מיקרו-שירותים, גורמים מכילים ואוטומציה, מה שהופך אותם למתאימים באופן אידיאלי לתהליך DevSecOps. בניית אבטחה רציפה, שילוב רציף והספקה רציפה לתהליך הפיתוח עבור יישומים מקוריים בענן מאפשרת כושר הרחבה מבלי לפגוע באבטחה. השתמש בפתרונות אבטחה אוטומטיים, כגון Microsoft Defender עבור DevOps, כדי לעזור לך לאבטח את הקוד ואת הערוץ המלא של DevOps. לאחר פריסת האפליקציה שלך בענן, המשך לנטר אותה לסיכונים. פלטפורמות הגנה על עומס עבודה בענן (CWPP) עוזרות להגן על יישומים אלה ועל הנתונים המשמשים כברירת מחדל על-ידי זיהוי והפחתת איומים על עומסי עבודה בסביבות מרובות-ענן. פתרונות ניהול מצבה אבטחה הכולל בענן (CSPM) מגלים ומטפלים בתצורות שגויות ובפגיעות ברחבי הסביבה שלך.

קבל מידע נוסף על האבטחה של Microsoft

Microsoft Defender עבור הענן

הגנה על סביבות ריבוי עננים וסביבות היברידיות מפני פיתוח לזמן ריצה עם פלטפורמה מקיפה ומבוססת ענן להגנה על יישומים.

למידע נוסף

יישומי ענן של Microsoft Defender

הפוך את אבטחת האפליקציות למודרנית, הגן על הנתונים ושפר את אבטחת מצב האפליקציות עם פתרון מסוג תוכנה כשירות (SaaS).

למידע נוסף

ניהול מצב האבטחה הכולל בענן עבור Microsoft Defender

התמקד בסיכונים הקריטיים ביותר שלך בסביבה מרובת עננים עם ניהול הקשרי של מצב האבטחה הכולל בענן.

למידע נוסף

Microsoft Defender עבור DevOps

קבל ניהול אבטחה אחיד של DevOps בסביבות מרובות עננים ובסביבות מרובות ערוצים.

למידע נוסף

שאלות נפוצות

  • DevSecOps הוא תהליך שמשלב אבטחה במחזור החיים כולו של פיתוח תוכנה. ארגונים מאמצים גישה זו כדי להפחית את הסיכון לשחרור קוד באמצעות פגיעויות אבטחה. באמצעות שיתוף פעולה, אוטומציה ותהליכים ברורים, צוותים חולקים אחריות על האבטחה, במקום להשאיר אותה לסוף כאשר הטיפול בבעיות יכול להיות הרבה יותר קשה ויקר.

  • DevSecOps מייצג פיתוח, אבטחה ותפעול. הוא מתייחס לתהליך של שילוב אבטחה בכל שלבי פיתוח התוכנה.

  • Shift Left הוא רעיון ב- DevSecOps שמתייחס לשילוב של שיטות אבטחה החל מתחילת תהליך הפיתוח.

  • מסגרת DevSecOps כוללת שילוב רציף, הספקה רציפה ואבטחה רציפה. זוהי שיטה שבה צוותי אבטחה, תפעול ואבטחה עובדים יחד ומשתפים את האחריות לספק במהירות תוכנה איכותית, תוך צמצום פגיעויות אבטחה.

  • אין תהליך DevSecOps אחד, אך דרך נפוצה שבה אנשים מפעילים פרויקטים אלה היא חלוקת עבודה לסבבים שכל אחד מהם כולל את הרכיבים הבאים: תכנון ופיתוח, בניית ובדיקה וייצור. במהלך הסבב, הצוותים משתמשים באוטומציה כדי לטפל באופן רציף בבעיות הבטחת איכות, לשלב באופן רציף ולבחון באופן רציף סיכוני אבטחה.

עקוב אחר 'האבטחה של Microsoft'

Copilot לארגונים Copilot לשימוש אישי Microsoft 365 אפליקציות של Windows 11‏ פרופיל החשבון מרכז ההורדות החזרות מעקב אחר הזמנות Microsoft Education מכשירים לחינוך Microsoft Teams בתחום החינוך Microsoft 365 Education Office Education הדרכות ופיתוח למחנכים מבצעים לתלמידים ולהורים Azure לסטודנטים
Microsoft AI האבטחה של Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams מפתח של Microsoft Microsoft Learn תמיכה באפליקציות השוק של AI קהילת Microsoft Tech Microsoft Marketplace Microsoft Power Platform Marketplace Rewards Visual Studio קריירה אודות Microsoft פרטיות ב-Microsoft משקיעים קיימות
עברית (ישראל)
סמל ביטול הצטרפות מהאפשרויות הפרטיות שלך אפשרויות הפרטיות שלך
פרטיות בריאות הצרכן צור קשר עם Microsoft פרטיות ניהול קבצי Cookie תנאי השימוש סימנים מסחריים אודות הפרסומות שלנו נגישות