Dijital işi yönlendiren yazılımları, uygulamaları ve programları yaratan geliştiriciler, birçok organizasyonun can damarı haline geldi. Çoğu modern işletme, rekabetçi uygulamalar ve programlar olmadan veya web sitelerine ve diğer altyapılarına 24 saat erişim olmadan (karlı bir şekilde) çalışamaz.

Yine de, bu aynı temas noktaları genellikle bilgisayar korsanlarının ve diğer kötü niyetli kullanıcıların bilgi çalmak, saldırılar başlatmak ve dolandırıcılık ve fidye yazılımı gibi diğer suç faaliyetlerine sıçrama tahtası yapmak için kullandıkları ağ geçididir.

Çoğu kuruluşta siber güvenliğe yapılan harcamalar çok fazla olsa da başarılı saldırılar yaygınlığını koruyor. DevSecOps gibi güvenliği, bugün iş dünyasının can damarı olan geliştiricilere doğru kaydırıyor. Geliştiriciler güvenliğin önemini anlıyor ve ezici bir çoğunlukla güvenli ve kaliteli kod dağıtmak istiyorlar, ancak yazılım açıklarından yararlanılmaya devam ediyor.

Niye ya?

2. yıl için Secure Code Warrior, Geliştirici odaklı güvenlik araştırmasının durumu, 2022 Aralık 2021’de Evans Data Corp ile ortaklaşa, güvenli kodlama uygulamalarına ilişkin becerileri, algıları ve davranışları ve bunların yazılım geliştirme yaşam döngüsündeki (SDLC) etkisini ve algılanan alaka düzeyini anlamak için dünya çapında 1.200 geliştiriciyle anket yaptı.

Anket, güvenli kodu neyin oluşturduğuna dair net bir tanımın veya anlayışın bulunmadığını tespit etti. Geliştiricilerin yaptıkları arasında büyük bir tutarsızlık olduğu ortaya çıktı. düşünmek güvenli kod nedir ve hangi güvenli kod aslında dır-dir.

Kaliteli kod yazmanın geliştirme topluluğu için en önemli öncelik olması şaşırtıcı değildi. Ancak, özellikle güvenli kod hakkında soru sorulduğunda, yalnızca %29’u güvenlik açıklarından arınmış aktif kod yazma pratiğine öncelik verildiğini söyledi. Bunun yerine geliştiriciler, güvenli kodun oluşturulmasıyla daha az güvenli ve çok daha az güvenilir uygulamaları ilişkilendirdi. Örneğin, mevcut kodu incelemek (%37) ve güvenli kod için harici kaynaklı kitaplıklara güvenmek (%37), geliştiricilerin güvenli kodlamayla ilişkilendirdiği en iyi uygulamalardı. Zaten güvenli olduğu düşünülen kodun yeniden kullanılması (%32), bir başka popüler seçimdi. Güvenlik açıklarından arınmış aktif kod yazma uygulaması, güvenli kod oluşturmada en iyi uygulama olduğunu belirten %29 ile 6. sırada yer aldı.

Daha fazla sorgulandığında, güvenli kod oluşturmanın önündeki en büyük engellerin zaman eksikliği ve yönetimden gelen uyumlu bir yaklaşım eksikliği olduğu belirtildi.

Mevcut koda güvenmek, yazılımın istismar edilebilir güvenlik açıklarıyla birlikte gönderilmesi riskini artıran faktörlerden biridir. Neyin güvenli kodu oluşturduğuna ilişkin bu bağlantının kesilmesi, geliştiricilerin aynı zamanda güvenli olan kaliteli kod oluşturmaları için gereklidir.

Kuruluşlar Durumu Düzeltmek İçin Ne Yapabilir?

Anketten gelen en önemli mesajlardan biri, geliştirici topluluğunun bir bütün olarak ne yaptıklarına önem veren profesyonel insanlarla dolu olduğuydu. Bir grup olarak onlar için en yüksek kalitede kod yazmak ezici bir şekilde önemliydi. Sorun, çoğu durumda, çalıştıkları kuruluşların güvenli kod üretmek için hangi en iyi uygulamaların gerekli olduğunu belirlememiş olmaları ve eğitime yeterli kaynak ayırmamış olmaları veya geliştiricilerinin bu hedeflere ulaşmasını sağlamamış olmalarıdır.

Aslında çoğu geliştirici, kuruluşlarının güvenli kodu neyin oluşturduğuna dair net bir tanımı bile olmadığını belirtti. Bunun en endişe verici örneklerinden biri, ankete katılanların %28’inin, bir uygulama veya program bir üretim ortamına dağıtıldıktan veya kamuya sunulduktan sonra herhangi bir ihlal bildirilmediği takdirde, kuruluşlarının kodu güvenli kabul ettiğini söylemesidir.

Muhtemelen söylemeye gerek yok, ancak günümüzün karmaşık tehdit ortamında, gerçekten onlar için çalışmadan sadece iyi sonuçlar elde etmeyi ummak, muhtemelen tahmin edilebilir sonuçlar üretecektir: daha da fazla güvenlik ihlali.

Neyse ki, bu, en azından sorunu çözmeye başlamanın ve ardından güvenli kod hedefine doğru çalışmaya başlamanın nispeten kolay olduğu bir durumdur. İlk ve tartışmasız en önemli adım, kuruluşların güvenli kod olarak düşündüklerini tanımlamalarıdır. Ve bu tanımın dışında kalan her şeyin güvenli olmadığı kabul edilmelidir.

Güvenli kodlama, yetenekli geliştiricilerin SDLC’nin başlangıcından itibaren güvenlik açıklarından arınmış kod yazma uygulaması olarak tanımlanmalıdır. Geliştirici topluluğu ancak bu uygulama tanımlandıktan sonra bu amaca yönelik çalışabilir.

Güvenli kod hedefini gerçeğe dönüştürmek

Güvenli kodun tanımı oluşturulduktan sonra, kuruluşların bu çabaları ve toplam güvenli kod uygulamalarını uygulama hedefini gerçekleştirecek geliştiricilerini desteklemeye hazır olmaları gerekir. Bu destek çok önemli. Onsuz, kuruluşunuzdaki güvenli kodun tanımı önemli olsa da kağıttan bir kaplandan biraz daha fazlası olacaktır. Güvenli kodlama uygulamaları, yönetim tarafından onaylanmalı ve başarılı olmak için uygun değerlendirme, yetki ve bütçe verilmelidir.

Bu, geleneksel olarak kodlama hızlarına göre ölçülen geliştiriciler için yeni kıyaslama hedefleri gerektirebilir. Aslında, ankete katılan geliştiricilerin %37’si, sıkı teslim tarihlerinin bunları düzeltmek veya baştan düzgün kodlamak için gereken zamana izin vermemesi nedeniyle kodlarında bilinen güvenlik açıkları bıraktığını bildirdi.

İlk başta, bu, geliştiricilere düzgün kodlama için daha fazla zaman vermek için artan son tarihler anlamına gelebilir, ancak kodlama sürecinin başlangıcındaki zaman harcaması, program revizyonlarına, yamalara ve dağıtım sonrası daha az ihtiyaç nedeniyle muhtemelen daha sonra yapılacaktır. İş. Ve konuşlandırılan bir ihlal olasılığını ortadan kaldırmak, yüzlerce saat ve muhtemelen milyonlarca kayıp gelir, para cezaları ve temizleme maliyetlerinde.

Geliştiriciler ayrıca, özellikle karşılaşabilecekleri belirli güvenlik açıklarıyla ilgili olduğundan ve kod güvenlik açıklarının nasıl belirlenip düzeltileceğini öğrenmeye yardımcı olduğu için ilgili, uygulamalı eğitime ihtiyaç duyacaktır. Bu, özellikle kodlarından güvenlik açıklarını kaldırmak istediklerini söyleyen ancak bunu yapacak beceri veya bilgiye sahip olmayan anket katılımcılarının %36’sı ışığında geçerlidir.

Secure Code Warriors’ın dünya çapında 1200 geliştiriciyle yaptığı anketten elde edilen daha fazla bilgiyi okumak ister misiniz? Bunlara buradan erişebilirsiniz: Geliştiriciye Dayalı Güvenlik Durumu 2022



siber-2