Soru: Geliştiricilerimizi yavaşlatmadan kuruluşumun güvenliğini sola kaydırmasını nasıl sağlayabilirim?

Scott Gerlach, CSO ve StackHawk’un kurucu ortağı: Sonuçta insanların, süreçlerin ve teknolojinin bir karışımını gerektirir. Tek başına alet kullanmak sizi oraya ulaştıramaz. Yolculuklarına başlayan kuruluşlara genellikle aşağıdaki altı adımı öneriyorum. Ekipler bu adımları uyguladığında aslında geliştirici hızından ödün vermeden güvenliği sola kaydırmaya başlayabilirler.

1. Geliştirme Ekibini AppSec Tasarım Sürecinin Erken Aşamalarına Dahil Edin

Geliştiricilerin sola vardiya çalışmasıyla ilgili kararlara dahil olmaları gerekiyor. Aşağıdakileri yapmak için onlarla ortak olun:

  • Değerlendirin ve yerleşik araçları kullanın.
  • Uygun düzeltme döngüleri oluşturun.
  • Bulguların nasıl atanacağını ve izleneceğini belirleyin.
  • Geliştirme liderliğinden destek alın.

AppSec süreci, geliştiricilerin işini daha az kesintiye uğratacak ve yazılımın kullanıma sunulmasına yardımcı olacak şekilde tasarlanmalıdır.

2. Güvenlik Ekibini Geliştirme Sürecinin Erken Aşamalarına Dahil Edin

Geliştiriciler, uygulama tasarımının başlangıcında güvenlik ekibine, uygulamalarının hedeflerini ve iş önemini, işleyeceği veri türünü ve amaçlanan işlevselliğini iletmelidir. Güvenlik ekibi daha sonra risk toleransını doğru bir şekilde değerlendirebilir ve herhangi bir kodlama başlamadan önce kimlik doğrulama ve şifreleme gibi güvenlik önlemlerinin uygulanması konusunda rehberlik sağlayabilir.

3. Geliştiricilerin Kendilerine Yardım Etmesine Yardımcı Olun

Geliştiricilerin, keşfedilen bir sorunun ne olduğunu, neden önemli olduğunu ve sorunu düzeltebilmeleri için nasıl yeniden oluşturulabileceklerini anlamalarına yardımcı olacak araçları benimseyin. Bir sonraki adım, geliştiricilerin bulguları önceliklendirerek güvenlik kararlarını belgelemelerine olanak sağlamaktır. Burada amaç birlikte öğrenmek, her şeyi %100 doğru yapmak değil.

4. Geliştiriciler için Hedefli Güvenlik Eğitimi Sağlayın

Geliştiricilerin kararları belgelemelerine izin verdiğinizde, bu bilgileri, kendi kodları ve iş açısından önemi bağlamında kalıplara dayalı hedefli eğitim sağlamak için kullanabilirsiniz.

Örneğin, A Takımının tekrar tekrar yaptığını varsayalım. siteler arası komut dosyası çalıştırma (İlkbahar önyükleme kodundaki XSS) hataları. Eğitim kaynaklarını genel materyal yerine buna odaklayın.

5. CI/CD’de Güvenlik Testini Otomatikleştirin

CI/CD’de test yapmak, birim ve entegrasyon testleri gibi diğer otomatik yazılım testlerinin yanı sıra güvenliğin de geliştirme sürecine entegre edilmesini sağlamaya yardımcı olur. Testleri otomatikleştirerek başlayın yaygın Web uygulaması tehditleriEnjeksiyon saldırıları, hassas verilerin açığa çıkması ve XSS.

6. Geliştirme, Güvenlik ve Operasyon Ekipleri Arasında İşbirliği Yapın

Güvenlik açığı raporlarını duvarın üzerinden bir sonraki ekibe atmak işbirliği değildir. Yukarıdaki adımları uygulamak ekiplerin birlikte çalışması için bir temel oluşturur etkili bir şekilde Potansiyel güvenlik risklerini belirlemek ve bu riskleri azaltacak stratejiler geliştirmek.



siber-1