DevSecOps Days Istanbul 2019 Konferans Notları ve Akılda Kalanlar


DevOps’un ne olduğu ile ilgili olarak önceki yazımda bahsetmiştim. Bu yazımda ise DevSecOps Days Istanbul etkinliğinde aldığım notları paylaşıyorum.

Öncelikli olarak organizasyon sabah 07:30’da başlıyordu, bu saatte gittiğimde gerçektende herkes hazırdı. Organizasyon ilki gerçekleşmesine rağmen gayet yeterli geldi ve emek verildiği de gözleniyordu. Konferans alanına girer girer adını sonrasında öğrendiğim Dr. Arafat Salih Aydıner Bey samimiyet ile karşıladı ve kısa sohbet ettik. Emek verenlere ve tüm görevlilere de teşekkürler.

Konuşmacıların içerikleri yazdıklarım ile sınırlı değil elbette fakat önemli gördüğüm, hatırlamak istediğim ve daha önce duymadığım ya da üzerinde çalıştığımız konulardan bahsettiklerinde not almaya özen gösterdim. Hatalı ifadelerim var ise söylenebilirse düzeltirim.

Bilişim Teknolojile Derneği (BTD);

  • Her yıl düzenlemeyi hedefliyor.
  • Podcast, Webcast vb bir çok etkinlik ile güvenli yazılım geliştirmeyi yaygınlaştırmayı amaçlıyor.
  • DevSecOps Days Istanbul’in sonraki tarihi ise 4-5 Haziran 2020.

DevOps Culture

Bob Aiello;

  • İlk defa DevOps kavramı 2009 yılında bir konferansta ortaya çıkmış.
  • Özellikle DevOps’da araçların (tools) çok önemli ve (kendi tabiri ile )first class olması gerekiyor.
  • İletişimin DevOps süreçlerinde çok önemli.
  • Skills(beceri) ve knowledge(bilgi), DevOps süreçleri için gerekli.
  • Continuous Delivery (CD) ile Continuous Integration (CI) aynı kavramlar değil, birbirlerine karıştırılıyorlar. CD, deployment dosyalarının sunuculara atılması. CI, ise production ortamına geçmesi olarak düşünülebilir.
  • DevOps sürecinde çalışmalar Prod ortamında ne ise alt ortamlarda aynı şekilde olmalıdır. Ortamlar arası farklılık gerçeği yansıtmaz.
  • Kodlar kriptografik yöntemler ile imzalanmalıdır. Böylece doğru kodun production ortamına çıkar.

Hasan Yaşar;

  • Akademi alanında bu konuda çalışmalar mevcut.
  • Araçların kısıtlanması yanlış bir yaklaşım. Araç çeşitliliği gerekli ve DevOps sadece araçlar demek değildir.
  • Bilgileri kendimize saklıyoruz. Kodlarda yorum satırları olması gerekiyor.
  • DevOps sürecinde neyin ölçüleceğine karar verilmelidir. Örneğin; yaygınlaştırma sıklığı, kodun kalitesi, güvenlik.
  • İhalelerde/satin almalarda şartnameler önemlidir. Bunlar, Kabul testleridir.
  • Özelliklere göre ihtiyaçlar belirlenmelidir.
  • Şu an bulunmayan bir güvenlik açığı, ileride bulunabilir. Bir kere güvenli olan daima güvenli olacağı anlamına gelmiyor.
  • Eğer çalışanlar eğitimli değilse, yapılan yatırım etkin olmuyor. Bu durumda bakım problemleri yaşanıyor.
  • Docker image’larda ciddi güvenlik açıkları mevcut. Her alınan image kullanılmamalıdır. Bir image sizin istediğiniz tüm işleri yapıyorken arka tarafta data mining da yapıyor olabilir. Bu tarz yapan image’lar var.
  • Bir şey yerken nasıl sağlıklı mı diye dikkat ediyorsak, internetten indirdiklerimizin de içeriğine bakmamız gerekiyor. Güvenliğinden emin olunması gerekiyor. (En kritik cümle bence konferanstaki)

Dr.Emin İslam Tatlı;

  • Code Review önemli.
  • OWASP’ın DevSecOps olgunluk modeli ile mevcut olgunluk tespit edilebilir.
  • Authentication sistemini sadece Bilgi Güvenliği’nin bildiği kurumlar mevcut.
  • OWASP Test Guide 4.0 incelenebilir.
  • Secure by Design kavramı artık yaygınlaşıyor.
  • DevSecOps => Development (Software Engineering) + Security (Quality Assurance) + Operation.
  • com adresinden web sitelerinde hangi HTTP Header bilgisinin güvenli şekilde yapılandırılmağı gözlenebilir.
  • Wannacry, Microsoft RDP gibi çok meşhur açıkların kapatılmadığı bir çok kurum var. Güvenlik yamaları ve bu açıkların kapatılması kritik ve takip edilerek yapılması gerekiyor. Halen 28bin adet sunucuda RDP açığı mevcut.
  • OWASP’ın bir çok kaynağı var. Bunlardan yararlanılabilir.
  • Tehdit modelleme yapılması gerekir.
  • OWASP Top 10 her yıl açıklanmasına ragmen yıllardır bilinen Injection atakları halen mevcut ve kapatılmamamış durumda bir çok kurumda.

Doç. Dr. Bilgin Metin;

  • Güvenlik işi sadece checklist kontrolü değildir.
  • ISO 27001 gibi sertifikalar güvenlik açığı olmasını engellemez. Marriot Otel’in ISO 27001 olmasına ragmen 500milyon müşteri verisi çaldırdı.
  • Yazılım ekipleri KVKK bilmeli.
  • Ekipler arasındaki sempati/empatinin geliştirilmesi gerekir.
  • Güvenlik sadece güvenlik ekiplerinin değil, tüm ekiplerin sorumluluğudur.
  • Güvenlik hedef değildir, süreçtir.

Dr. Lotfi Ben Othmane;

  • Üniversite bünysinde geliştirilen hammar-io projesi mevcut. Nodejs ile kullanılarak geliştirilen bir DevOps framework’u.
  • DevSecOps geçiş sürecinde best practices:
    • İyi dokümantasyon ve loglama
    • İşbirliği ve iletişimin güçlü olması
    • Süreçlerin otomatize edilmesi
    • Görevler ayrılığı

Kayra Otaner;

  • Ahtapot projesinin önemi

 

Advertisements

, , , , , , , ,

  1. Leave a comment

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.