Profesyonel geliştiriciler doğru olanı yapmak isterler, ancak güvenlik açısından nadiren başarıya ulaşırlar. Kuruluşlar, sıfırdan güvenli yazılım istiyorlarsa, becerilerini hassas eğitim ve teşviklerle desteklemelidir.
Siber tehdit ortamı gün geçtikçe daha karmaşık hale geliyor ve verilerimiz geniş çapta arzu edilen “dijital altın” olarak kabul ediliyor. Saldırganlar, savunmasız uygulamalar, programlar, bulut örnekleri için ağları sürekli olarak tarıyor ve Gartner ile ayın en yeni özelliği API’ler doğru tahmin 2022’de en yaygın saldırı vektörü olacaklarını ve bu, genellikle gevşek güvenlik kontrolleri sayesinde hiç de az değil.
Tehdit aktörleri o kadar ısrarcıdır ki, yeni uygulamalar bazen devreye alındıktan sonra saatler içinde tehlikeye atılabilir ve istismar edilebilir. bu Verizon 2022 Veri İhlali Araştırmaları Raporu Hataların ve yanlış yapılandırmaların, ihlallerin %13’ünün nedeni olduğunu ve analiz edilen 23.000 olayın %82’sinden genel olarak insan unsurunun sorumlu olduğunu ortaya koyuyor.
Oluşturulan yazılımı gerçekten güçlendirmenin tek yolunun, güvenli kod üzerine inşa edildiğinden emin olmak olduğu çok açık hale geliyor. Başka bir deyişle, tehdit aktörü istilasını durdurmanın en iyi yolu, ilk etapta onların yazılımınıza ayak basmasını engellemektir. Siber suçlular, genellikle geniş saldırı yüzeylerini savunmak için çabalayan kuruluşlara karşı belirgin bir avantaja sahiptir ve kapatılabilecek herhangi bir fırsat penceresi, riski önemli ölçüde azaltır.
Güvenlik yıldızlarının parlamasını zorlaştırıyoruz
Pek çok kuruluştaki geliştiriciler için mevcut durum, onların birincil görevinin harika özellikler oluşturmak ve yazılımı hızla dağıtmak olduğu şeklindedir. Geliştiriciler ne kadar hızlı kodlayabilir ve dağıtabilirse, performans incelemeleri açısından o kadar değerli görülme eğilimindedirler.
Güvenlik, düşünüldüğünde sonradan akla gelebilir ve geliştirici başarısının bir ölçüsü olarak bariz bir şekilde yoktur. bu 2022 Geliştiriciye Dayalı Güvenlik Araştırması Durumu Evans Data ile birlikte, ankete katılan geliştiricilerin %86’sının uygulama güvenliğini birinci öncelik olarak görmediklerini ortaya koymasıyla bu görünümü desteklemektedir. Bunun yerine, bunun çoğunu anlamak için uygulama güvenliği (AppSec) ekiplerine bırakılır. AppSec ekipleri, güvenlik yamalarını uygulamak veya güvenlik açıklarını gidermek için kodu yeniden yazmak için genellikle tamamlanmış uygulamaları geliştirmeye geri gönderdikleri için çoğu geliştirici için bir hayal kırıklığı kaynağı olma eğilimindedir. Ve bir geliştiricinin zaten “bitmiş” bir uygulama üzerinde çalıştığı her saat, yeni uygulamalar ve özellikler oluşturmadıkları bir saatti ve bu nedenle performanslarını (ve özellikle cezalandırıcı bir şirketin gözünde değerlerini) düşürüyordu.
Bununla birlikte, modern tehdit ortamı, şirketlerden devlet dairelerine kadar herkesi güvenliğin önemini ve önceliklendirilmesini yeniden düşünmeye zorladı ve geliştirme kohortunun savunmacı bir yaklaşıma nasıl uyduğunu düşünmek için iyi bir konumda olacaklar. yakın zamana göre 2022 Veri İhlal Raporunun Maliyeti IBM ve Ponemon Enstitüsü’nden, ortalama siber güvenlik ihlali, neredeyse üst sınır olmasa da, olay başına yaklaşık 4,24 milyon dolara mal oluyor. Günümüz şirketleri DevSecOps tarafından sunulan güvenliği istiyor, ancak ne yazık ki bu çağrıya cevap veren geliştiricileri ödüllendirmekte yavaş davrandılar.
Geliştirme ekiplerine güvenliği dikkate almalarını söylemek, özellikle de yalnızca hıza dayalı olarak teşvik ediliyorlarsa işe yaramaz. Aslında, böyle bir sistemde, güvenlik hakkında bilgi edinmek ve kodlarını güvenceye almak için zaman ayıran geliştiriciler, daha az güvenlik bilincine sahip meslektaşlarının kazanmaya devam ettiği daha iyi performans incelemelerini ve kazançlı ikramiyeleri kaybediyor olabilir. Sanki şirketler farkında olmadan sistemi kendi güvenlik eksiklikleri için kullanıyorlar ve bu onların geliştirme ekibi hakkındaki algılarına geri dönüyor. Onları güvenlik cephesi olarak görmüyorlarsa, işgücünü kullanmak için uygulanabilir bir planın gerçekleşmesi pek olası değildir.
Ve bu, eğitim eksikliğini bile hesaba katmaz. Bazı çok yetenekli geliştiriciler, onlarca yıllık kodlama deneyimine sahiptir, ancak güvenlik söz konusu olduğunda çok az şey vardır… sonuçta, onlardan hiçbir zaman gerekli olmadı, ne de bir başarı veya kaliteli çalışma ölçüsü oldu. Bir şirket iyi bir eğitim programı sağlamadıkça, geliştiricilerinin aniden yeni beceriler kazanmasını ve bunları, güvenlik açıklarını etkin bir şekilde azaltan anlamlı bir şekilde eyleme geçirmesini bekleyemez.
(Dünyanın dört bir yanından diğer seçkin geliştiricilere karşı rekabet etmek mi yoksa kendi süper güvenlik geliştirici ekibinizi aday göstermek mi istiyorsunuz? Katılmak Güvenli Kod Savaşçısı‘s 2022 Dev Olimpiyatlarıen büyük ve en iyi küresel güvenli kodlama turnuvamız ve büyük kazanabilirsiniz!)
İyi güvenlik uygulamaları için geliştiricileri ödüllendirmek
İyi haber şu ki, geliştiricilerin ezici çoğunluğu işlerini hem zorlayıcı hem de ödüllendirici buldukları ve konumlarının gerektirdiği saygıdan keyif aldıkları için yapıyorlar. Yaşam boyu yazılım mühendisi Michael Shpilt son zamanlarda hakkında yazdı onu ve meslektaşlarını geliştirme çalışmalarında motive eden her şey. Evet, bu teşvikler arasında parasal tazminatı listeliyor, ancak şaşırtıcı bir şekilde listenin çok altında. Bunun yerine, yeni bir şey yaratmanın heyecanını, beceri geliştirmeyi ve çalışmalarının doğrudan başkalarına yardım etmek için kullanılacağını bilmenin memnuniyetini ön planda tutuyor. Ayrıca şirketi ve topluluğu içinde değerli hissetmek istemekten bahsediyor. Kısacası, geliştiriciler, işleriyle gurur duyan birçok iyi insandan farklı değildir.
Shpilt gibi geliştiriciler, tehdit aktörlerinin kodlarından ödün vermesini ve bunu şirketlerine veya yardım etmeye çalıştıkları kullanıcılara zarar vermek için kullanmasını istemiyor. Ancak, destek olmadan önceliklerini birdenbire güvenliğe kaydıramazlar.
Geliştirme ekiplerinin siber güvenlik becerilerini geliştirmelerine yardımcı olmak için öncelikle onlara gerekli beceriler öğretilmelidir. Öğrenmeye yönelik katmanlı bir yaklaşımın yanı sıra gerçek iş akışlarına sorunsuz bir şekilde entegre edilmek üzere tasarlanmış araçlar kullanmak, bu süreci doğru bağlamda mevcut bilgilerin üzerine inşa etmeye yardımcı olurken çok daha az acı verici hale getirebilir.
Beceri geliştirme taahhüdü ile, geliştiricileri yalnızca hıza dayalı olarak değerlendirmenin eski yöntemlerinin ortadan kaldırılması gerekiyor. Bunun yerine, geliştiriciler iyi, güvenli kodlama kalıpları oluşturma yeteneklerine göre ödüllendirilmeli ve en iyi adaylar ortaya çıkar. güvenlik şampiyonları Bu, ekibin geri kalanının becerilerini geliştirmesine yardımcı olur. Ve bu şampiyonların hem şirket prestiji hem de parasal tazminat ile ödüllendirilmesi gerekiyor. Geliştiricilerin genellikle güvenlikle ilgili olumlu bir deneyime sahip olmadığını ve onları olumlu, eğlenceli öğrenme ve ilgi alanlarına hitap eden teşviklerle yükseltmenin, hem bilgiyi elde tutma hem de becerileri geliştirme arzusunu sağlamada uzun bir yol kat edeceğini hatırlamak da önemlidir. .
(Dünyanın dört bir yanından diğer seçkin geliştiricilere karşı rekabet etmek mi yoksa kendi süper güvenlik geliştirici ekibinizi aday göstermek mi istiyorsunuz? Katılmak Güvenli Kod Savaşçısı‘s 2022 Dev Olimpiyatlarıve küresel turnuvalarımızda büyük bir para ödülü kazanabilirsiniz!)