Analyse de l'Infrastructure-as-Code (IaC)
Analysez les modèles Terraform, CloudFormation, Pulumi et ARM pour détecter les problèmes de sécurité avant le déploiement. Des outils tels que checkov, tfsec et KICS évaluent l'IaC par rapport aux politiques de sécurité et aux benchmarks CIS, identifiant les erreurs de configuration avant qu'elles n'atteignent le cloud.
Barrières de Sécurité pour les Pull Requests
Intégrez l'analyse IaC dans les revues de pull requests. Les résultats de sécurité apparaissent sous forme de commentaires de PR, bloquant les merges qui introduisent des erreurs de configuration critiques. Cela déplace le feedback de sécurité au moment où les développeurs prennent déjà des décisions : la pull request.
Validation à l'Exécution
L'analyse IaC détecte les problèmes dans le code. L'analyse à l'exécution détecte les problèmes dans l'infrastructure déployée, y compris les dérives par rapport à l'état défini par l'IaC, les ressources créées en dehors de l'IaC et les configurations modifiées manuellement. Les deux niveaux sont nécessaires.
Quand Ajouter des Tests Manuels Approfondis
Les outils de pipeline automatisés détectent les modèles connus. Des tests de test d'intrusion manuels trimestriels effectués par des experts en sécurité cloud, comme les praticiens de Penetrify, détectent les chaînes d'exploitation, les chemins d'attaque inter-services et les faiblesses architecturales que les outils de pipeline ne peuvent pas identifier. La combinaison offre rapidité et profondeur.
Conclusion
Les tests de sécurité dans le contexte DevSecOps ne visent pas à ralentir, mais à détecter les erreurs de configuration à la vitesse du déploiement. Automatisez l'analyse IaC dans votre pipeline, validez continuellement les configurations à l'exécution et ajoutez des tests manuels approfondis trimestriels pour gagner en profondeur. Penetrify fournit la couche de profondeur manuelle.