Yakın zamanda yaptığımız bir anket, hızlandırılmış serbest bırakma döngüleri için artan baskıya rağmen şunu gösteriyor: geliştiriciler aslında güvenlikle ilgileniyor. Ancak asıl zorluk, çoğu kuruluşta mevcut olan mevcut uygulama güvenliği testi (AST) araçlarının geliştirici merkezli olmamasıdır. Bu araçlardan doğru AST sonuçları almak, geliştiricilere önerilerde bulunmadan önce önceliklendirme ve analiz için insan güvenliği uzmanlarına bağlıdır. Bu iş akışı, işlem hatlarını yavaşlatır ve günümüzün yazılım geliştirme yaşam döngüsünün (SDLC) taleplerini destekleyecek şekilde ölçeklenemez.
Modern yazılım geliştirme, yazılım aracılığıyla üretim uygulamalarına ve uygulama programlama arayüzlerine (API’ler) değer sağlamaya öncelik verir. Bu zorunluluktan – bu konuda en iyi olan şirketler kategorilerinde hakim olacak. Günümüzde her sektördeki işletmeler, üretimi hızlandıran, sorunları çözen veya iş çevikliğini artıran yeni veya geliştirilmiş uygulamalar için doyumsuz bir açlığa sahiptir. Sonuç olarak, anketimize göre çoğu kuruluş (%79), geliştiricilerin sürüm döngülerini kısaltmak için artan bir baskı altında olduğunu bildiriyor.
Ancak yazılım geliştiricilerin işleri daha hızlı zorlaması gerekirken, çoğu kuruluşta kullanılan eski AST araçları, modern geliştirme döngülerinin yoğun taleplerine ayak uyduracak şekilde tasarlanmamıştır. Bu uyumsuzluk, geliştiricilerin genellikle güvenlik taramaları gerçekleştirmek yerine toplantı yayın son tarihlerini seçmeye zorlandığı bir kırılma noktasına ulaştı.
Hız, uygulama geliştiricileri için yeni normaldir. Bu nedenle, geliştiricilerin işlerini normal şekilde yapmalarını sağlayan güvenlik araçlarına ihtiyacımız var.
Modern Gelişim için Tasarlanmış Güvenlik
Hız, güvenliğin geliştiriciler için bir varlık haline gelmesi için masa bahisleriyse, bugünün sisteminin neden bozuk olduğunu anlamamız gerekir. Mevcut testler, her uygulamada tarama yapmak için güvenlik uzmanlarına bağlıdır. Taramaların çalışması uzun zaman alır ve yüksek hacimli yanlış pozitif uyarılar oluşturur. Güvenlik ekibi gürültülü rapor sonuçlarını sıralayıp düzeltme önerilerini geri gönderdiğinde, geliştiricilerin ileriye dönük ilerlemelerini durdurmaları ve gerekli değişiklikleri yapmak için günler, haftalar veya aylar önce çalıştıkları işe geri dönmeleri gerekir. Bu ayrık iş akışının, operasyonel verimlilik ve kuruluşun teslim tarihlerini karşılama yeteneği üzerinde büyük etkisi vardır.
Geliştirme ve güvenlik ekiplerinin çabalarını uyumlu hale getirmek, uygulama güvenliğine geliştirici öncelikli yaklaşımı benimsemeye bağlıdır. Dönüştürücü bir çözüm, üç temel yetenek sağlamalıdır:
Hız: Hızlı, Bağlamsal Sonuçlar
Geliştiriciler, yazdıkları kod hakkında neredeyse anında geri bildirime ihtiyaç duyar. Bu nedenle, başlangıç noktası olarak modern uygulama güvenliği hızlı olmalıdır. Zamanında alınan sonuçlar, geliştiricilerin, bağlam değiştirmeden ve sonuçların öncelik sırasına alınması için güvenlik uzmanlarını dahil etmek zorunda kalmadan sorunları çözmelerini sağlar. Geliştiricilere, kullanıcı girişi, tam kod satırları, kelimesi kelimesine sorgular, kitaplık kullanımı vb. dahil olmak üzere her bir güvenlik açığı hakkında uygulama içinden tam bağlam sağlamak, “tam zamanında” eğitim bir geliştiricinin sorunları gerçek zamanlı olarak hızlı bir şekilde çözme yeteneğini daha da hızlandırmak için belirli güvenlik açığına dayanmaktadır.
Doğruluk: Uyarı Gürültüsünü Ortadan Kaldırın
Modern uygulama güvenliği de doğru olmalıdır. Yanlış pozitifler, geliştirme ekipleri için büyük bir yüktür. Bir test aracı oluşturursa %85’e varan oranlarda raporlar YANLIŞ pozitifler, ardından uygulama güvenliği uzmanları ve geliştiricileri, hiçbir risk oluşturmayan sorunları öncelik sırasına koyma, ilişkilendirme, veri tekilleştirme, risk derecelendirme ve düzeltme konusunda çok fazla zaman harcarlar. Bu da, geliştirme iş akışlarını ve daha geniş teslimat döngüsünü tıkar.
Ölçeklenebilirlik: Sürekli, Kapsamlı Test
Son olarak, uygulama güvenliği ölçeklenebilir olmalıdır. Taramayı etkili kılmak için uzmanlar, her uygulamada ve API’de her gün tam tarama yapılmasını önerir. Raporumuza göre, kuruluşların %91’i (ve %35’i taramalarının sekiz veya daha fazla saat sürebileceğini bildirdiği) için ortalama tarama uygulama başına en az üç saat sürdüğünde, bu basitçe mümkün değildir. Talebi karşılamak için etkili bir çözüm, periyodik olarak çalışan veya yalnızca birer birer seri testler gerçekleştirebilen bir araç olamaz. Uygulama güvenliği, bir kuruluşun tüm uygulama portföyünde arka planda sürekli olarak çalışmalıdır.
Daha İyi Güvenlik: Geliştiriciler Tarafından, Geliştiriciler için
Güvenlik için ayrı süreçlerimiz, ayrı silolarımız, ayrı kontrol listelerimiz, her şeyi ayrı tutamayız. Güvenlik ekiplerinin sadece kendileri için ayrı bir sistem olacağını düşünmeleri gerçekçi değil. Modern SDLC’nin güvenliğini gerçekten iyileştirebilmemizin ve her yıl artan sayıdaki uygulama tabanlı ihlalleri büyük ölçüde azaltabilmemizin tek yolu, uygulama güvenliğini geliştiricilerin ihtiyaçları etrafında yeniden merkeze almaktır. “Önce geliştirici” uygulama güvenliğinin anlamı budur.
hakkında bilgi edinin Kontrast Güvenlik Platformu burada.
yazar hakkında
Jeff Williams, Contrast Security’nin kurucu ortağı ve Baş Teknoloji Sorumlusu olarak 20 yılı aşkın güvenlik liderliği deneyimini getiriyor. Yakın zamanda DZone DevSecOps, IAST ve RASP referans kartları yazdı ve JavaOne (Java Rockstar), BlackHat, QCon, RSA, OWASP, Velocity ve PivotalOne gibi konferanslarda sık sık konuşuyor. Jeff aynı zamanda 9 yıl boyunca Global Başkan olarak görev yaptığı ve OWASP Top 10, OWASP Enterprise Security API, OWASP Application Security Verification Standard, XSS Prevention Cheat Sheet ve daha birçok popüler açık kaynağı oluşturduğu OWASP’ın kurucusu ve önemli katkılarından biridir. projeler.
