Las tuberías de DevOpsSec CI / CD generalmente se refieren a los entornos AWS con funciones de Auto Scaling y Lambda, así como el aprovisionamiento a través de Terraform o CloudFormation. DevOps en 2017 probablemente debería incluir una funcionalidad sin agente, como ServerSpec (y / o Test Kitchen). El libro DevOpsSec de la publicación O'Reilly hace mención de muchos de estos paradigmas. El libro en realidad se llama DevOpsSec, no DevSecOps.
Las tuberías de AppSec de OWASP son diferentes. No son estrictamente tuberías de CI / CD, sino más bien una forma de automatizar el análisis de vulnerabilidad híbrida (y por lo tanto también de debilidad del software). La plataforma Cigital ESP fue un ejemplo clásico de esto, pero muchos buscan plataformas de aplicación segura como CodeDx, ThreadFix, SD Elements o Signal Sciences para un equivalente de 2017. En algunos casos, un canal de AppSec podría consistir en un canal de CI / CD (es decir, Jenkins) y conectar la funcionalidad de otros proyectos de código abierto como los errores de búsqueda de segundo y ZAP de OWASP.
Un verdadero canal de DevOps es un canal de CI / CD con pruebas e implementación automatizadas. Esto requeriría, por ejemplo, la integración de ServerSpec, Packer (para iniciar las AMI) y Jenkins Jobs, pero con la capacidad adicional de realizar pruebas AB al utilizar un ELB para implementaciones en azul / verde. Las tuberías de AppSec nunca son tan compex, y yo diría que AppSec es más difícil de integrar en estos entornos, especialmente si los equipos de AppSec no se comunican de manera efectiva con los equipos de DevOps. El primer paso en la comunicación es obtener la capacidad de realizar actualizaciones automatizadas del sistema operativo (y paquetes, por ejemplo, rpm / año, dpkg / apt) a través de la función de Auto Scaling. La sorpresa es que es el mismo CI / CD y las técnicas de implementación que pueden potenciarlas.
La última pieza para ver la integración completa de un pipeline de AppSec con un pipeline de DevOps sería utilizar Start-Stop Lambda Cloudwatch para el análisis de vulnerabilidad híbrido automatizado.