AppSecパイプラインとDevSecOpsの違い

DevOpsSec CI/CDパイプラインは、通常、Auto Scaling機能とLambda機能、およびTerraformまたはCloudFormationによるプロビジョニングを備えたAWS環境を指します。 2017年のDevOpsには、ServerSpec（および/またはTest Kitchen）などのエージェントレス機能が含まれる可能性があります。 O'Reillyの出版によるDevOpsSecの本は、これらのパラダイムの多くに言及しています。本は実際にはDevSecOpsではなくDevOpsSecと正確に名付けられています。

OWASP AppSecパイプラインは異なります。それらは厳密にはCI/CDパイプラインではなく、ハイブリッドの脆弱性（したがってソフトウェアの脆弱性）分析を自動化する方法でもあります。プラットフォームCigital ESPはこの典型的な例でしたが、2017年相当のCodeDx、ThreadFix、SD Elements、Signal Sciencesなどの安全なappdevプラットフォームに期待しています。場合によっては、AppSecパイプラインはCI/CDパイプライン（Jenkinsなど）で構成され、find-sec-bugsやOWASP ZAPなどの他のオープンソースプロジェクトの機能をプラグインできます。

真のDevOpsパイプラインは、自動テストと展開を備えたCI/CDパイプラインです。これには、たとえば、ServerSpec、Packer（AMIを起動するため）、およびJenkinsジョブの統合が必要になりますが、青/緑のデプロイメントにELBを利用しながらABテストを実行する追加機能が必要です。 AppSecパイプラインはこれほど複雑ではありません。AppSecチームがDevOpsチームと効果的に通信していない場合は特に、AppSecをこれらの環境に統合するのはより困難であると私は主張します。コミュニケーションの最初のステップは、Auto Scaling機能を介して、自動化されたOS（およびパッケージ、たとえば、rpm/yum、dpkg/apt）の更新を実行する機能を取得することです。驚いたのは、これらを強化できるのは同じCI/CDとデプロイメントテクニックであることです。

AppSecパイプラインとDevOpsパイプラインの完全な統合を確認する最後のピースは、自動ハイブリッド脆弱性分析に Start-Stop Lambda Cloudwatch を利用することです。