Güvenlik ve geliştirme bazen en iyi ilişkilere sahip değildir. Bu kimsenin suçu değil; bu sadece yaptıklarının doğasıdır. Güvenliğin en büyük endişesi, kuruluşu uygulama güvenliği sorunlarının risklerinden korumaktır. Geliştiriciler, müşteri ihtiyaçlarını karşılamak için sıkı zaman çizelgelerine ulaşmaya ve özellikleri olabildiğince hızlı sunmaya çalışıyor. Ne yazık ki, hem geliştiriciler hem de güvenlik ekipleri genellikle silolarda çalıştığından, bu öncelikler bazen birbirleriyle rekabet halindedir ve iki ekip arasında sürtüşme yaratır.
Bu sürtüşme, güvenlik ekiplerinin hatalarından dolayı onları azarlamasına alışmış olan geliştiriciler arasında bir korku kültürü yaratabilir. Bu, geliştiricileri işlerinde daha iyi yapmaz veya inşa ederken güvenlik risklerinden kaçınmalarına yardımcı olmaz. Korku kültüründen, güvenlik sorunlarına hızla tepki verebileceğiniz ve bunları düzeltebileceğiniz ortak sorumluluk kültürüne geçmemiz gerekiyor. Olarak Cisco’nun Wendy Nather’i “Güvenlik, uygulanmak üzere tasarlanmaktan ziyade benimsenmek üzere tasarlanmalıdır.”
Geliştiricilerin uygulama mimarisinde ne kadar boşluk veya hata kaldığını ölçmek yerine, bu sorunların ne kadar hızlı bulunup düzeltildiğini ölçün. Herkes uygulamanın güvenli olmasını ister; sadece güvenlik ve geliştirme süreçlerini tek bir kusursuz iş akışına entegre etmemiz gerekiyor.
Bu, güvenlik ekiplerinin geliştiricilerle nasıl çalıştığıyla başlar. Siloları parçalayan ve sürtünmeyi ortadan kaldıran ekipler arasında güvenlik rehberliği, iş akışlarını düzene sokan ve güvenlik ile geliştiricileri hizalayan dört özelliğe sahip olma eğilimindedir.
Erişilebilir Güvenlik
Bir geliştirici için, bir güvenlik meslektaşından, üzerinde çalıştıkları belirli bir uygulama için tüm güvenlik hususlarını listeleyen 25 sayfalık bir Word belgesi almaktan daha sinir bozucu birkaç şey vardır. Bu belgelerin anlaşılması genellikle zordur ve iş akışlarını yavaşlatır çünkü geliştiriciler için değil, güvenlik açısından anlamlı olan bir dilde yazılmıştır.
Güvenlik ekipleri, örneğin geliştiricilerin “kimlik doğrulayıcılarını yetkisiz ifşa veya değişiklikten korumasını” önerirse, çoğu geliştirici bunun ne anlama geldiği hakkında hiçbir fikri olmayacaktır. Bu önemli bir güvenlik meselesi olsa da, geliştiriciler güvenliğin ne hakkında konuştuğunu bilmiyorsa asla uygulanmayacaktır. Güvenlik, geliştiriciler için daha erişilebilir, anladıkları dilde yazılmış rehberlik sağlayabilirse, geliştiricilerin bunları ele alma olasılığı çok daha yüksektir.
İşlem Yapılabilir Güvenlik
Açık ve anlaşılması kolay güvenlik kılavuzu yalnızca bir başlangıçtır. Güvenlik, geliştiricilerin hayatlarını çok daha kolay hale getirebilir ve neyin düzeltilmesi gerektiğini açıklamanın ötesine geçerse ve geliştiricilere nasıl düzeltileceğini söylerse, önerilerini çok daha hızlı uygulayabilir. Çok az geliştirici güvenlik konusunda bilgilidir ve güvenlik önerileri erişilebilir olsa bile, geliştiricilerin bozuk olanı nasıl düzelteceklerini bulmak için muhtemelen daha fazla çalışması gerekecektir.
Oraya gitmelerine yardımcı olmak için, sadece kovalamayı bırakın. Geliştiriciler, neden bir sorun olduğuna dair tüm kanlı ayrıntılara ihtiyaç duymazlar ve onları nasıl düzeltecekleri konusunda araştırma yapmaya zorlamak size hiç arkadaş kazandırmaz. Tüm geliştiriciler, ne yapmalarını istediğinizi bilmek ister. Eyleme geçirilebilir rehberlik sağlayarak onları mümkün olan en kısa sürede yeşil onay kutusuna getirin.
Otomatikleştirilmiş Güvenlik
Neyin düzeltilmesi gerektiğini erişilebilir bir dilde açıkladınız ve geliştiricilere eyleme geçirilebilir rehberlikle nasıl düzelteceklerini söylediniz, ancak bir adım daha ileri gidip sorunu onlar için otomatik olarak çözebilir misiniz?
Güvenlik ve geliştirme arasındaki sürtüşmenin bir kısmı, geliştiriciler arasındaki otomasyon ve hızın bolluğundan ve güvenlik için eksikliğinden kaynaklanmaktadır. Güvenlik, geliştirme hızında ilerlemek için Word belgeleri yerine otomasyonu nasıl kullanabilir? Sürecin bu kısmı önceden zaman ve çaba gerektirir. Otomasyon, dağıtım öncesi ve sonrası olası güvenlik sorunlarını taramak için güvenlik sürecine dahil edilmelidir.
Güvenlik, geliştirme ekipleriyle aynı türde otomasyonu benimsediğinde, iş akışlarına daha sorunsuz bir şekilde uyum sağlayabilirler.
Doğru Zamanda Güvenlik
Güvenlik, sürecin başlarında devreye alınmalı ve mevcut geliştirme yaşam döngüsüne ve iş akışlarına uymalıdır. Geliştiriciler, güvenlik rehberliği almak için bir sonraki sprint’i veya gelecek ayı beklemek zorunda kalmamalıdır.
Doğru zamanda devreye girerseniz, geliştiriciler güvenlik sorunlarını düzeltebilir ve boşlukları tasarlayabilirler, uygulama tasarlanırken değil, zaten uyguladıktan sonra değil.
Bu “sola kaydırma”, hem geliştiriciler hem de güvenlik ekipleri için riskleri azaltır ve iş akışlarını kolaylaştırır.
Korku Kültürünü Durdurun
Bu değişiklikleri yapmak kültürel bir değişim gerektirir. Silolara ayrılmış korku kültüründen, güvenlik ve geliştirmenin ortak bir sorumluluk üstlendiği entegre, modernize, otomatikleştirilmiş iş akışlarına geçmemiz gerekiyor.
Eksiklikler yerine başarıların (sorunların ne kadar hızlı çözüldüğü gibi) ölçülmesini gerektirir. Bu tür bir kültürel dönüşüm, güvenliği geliştiriciler için güvenilir bir danışman olarak konumlandırır ve her uygulamanın tasarım gereği güvenli olmasını sağlayan bir tür farkındalık ve işbirliği yaratır.