DevSecOps - אבטחה ב-Pipeline

ב-2017, Equifax איבדה פרטים אישיים של 147 מיליון אמריקאים. הגורם? Apache Struts עם CVE ידוע שפורסם שני חודשים לפני הפריצה. הפאצ'ל היה זמין. אף אחד לא התקין אותו. לא כי לא ידעו - אלא כי אף אחד לא בדק באופן שיטתי אילו dependencies רצות ב-production. העלות: 575 מיליון דולר בפשרה עם ה-FTC, מחיר המניה צנח 30%, ו-CISO פרש תוך שבועות.

ב-2020, SolarWinds: תוכנת ניטור ארגונית שהותקנה ב-18,000 ארגונים, כולל משרד האוצר האמריקאי והפנטגון. התוקפים לא פרצו דרך הרשת - הם החדירו קוד זדוני לתוך ה-build pipeline של SolarWinds עצמם. Update לגיטימי שנחתם דיגיטלית הפיץ backdoor לאלפי לקוחות. זו לא חולשה ב-application code - זו חולשה ב-pipeline.

ב-2021, Log4Shell: ספריית Java שנמצאת ב-כמעט כל stack ארגוני, CVE עם CVSS 10.0, exploit ציבורי תוך שעות מהגילוי. צוותים שידעו אילו dependencies יש להם - הגיבו תוך שעות. צוותים שלא - ישבו שבועות וסרקו את כל ה-codebase ידנית.

המשותף? בכולם, אבטחה הייתה "מישהו שיסתכל על זה אחרי שנשלח ל-production." DevSecOps זה לא כלי - זו השקפה: אבטחה היא חלק ממחזור הפיתוח, לא audit שמגיע אחריו.