Sola kaydırma kavramı veya güvenliği yazılım geliştirme yaşam döngüsüne daha erken entegre etme kavramı, uygulama güvenliği için önemlidir, ancak bunu başarmak zor olabilir. Geliştiricilerin bazı güvenlik sorumluluklarını üstlenmeleri gerekiyor ancak bu, iş akışlarına uygun entegre güvenlik araçlarıyla uygun şekilde donatılmaları gerektiği anlamına geliyor.
Bu hafta başlatılan Symbiotic Security’nin, güvenlik açığı tespitini ve iyileştirme yeteneklerini doğrudan uygulama geliştiricisinin entegre geliştirme ortamına (IDE) entegre eden hizmet olarak yazılım platformuyla ele aldığı sorun budur. Platform aynı zamanda geliştiricilere güvenli kodun nasıl yazılacağı konusunda bilgi sahibi olmaları için tam zamanında eğitim de sağlıyor.
Symbiotic Security’nin kurucu ortağı ve CEO’su Jerome Robert, “Symbiotic’i kullanmak, kod yazarken yanınızda kişisel bir güvenlik koçunun olması gibidir” diyor. “Yaptığınız güvenlik hataları hakkında gerçek zamanlı geri bildirim sağlıyor ve bu hataları tekrarlamamanız için sizi eğitiyor.”
Geliştiricinin IDE’sindeki eklenti, geliştiricinin yanı sıra daha önce yazılmış olan kodu da yazarken sürekli olarak kodu tarar ve potansiyel güvenlik tehditlerini tanımlar. Geliştirici, bağlamsal iyileştirme tavsiyesini doğrudan IDE’den alır.
Robert, “Güvenlik dürtülerimiz koçluk olarak algılanıyor” diyor. “Bu, eski kodu düzeltmek için geri gelmelerine gerek kalmadan zamandan tasarruf etmelerini sağlayacak bir araç.”
Geliştiriciler ayrıca sorunun ne olduğunu ve neden sorun olduğunu öğrenmek için bayrağı yakalama (CTF) içeriği biçimindeki eğitim materyallerine de erişebilirler. Güvenli ve savunmasız kod örneklerini görüyorlar ve güvenli kodlama becerilerini geliştirmeye yardımcı olacak bir oyunun parçası olarak bulup düzeltmeleri için güvenli olmayan bir kod parçacığı sunuluyor.
Robert, Symbiotic Security’nin eklentisi ile diğer kod güvenliği araçları arasındaki farkın, sorunların tanımlandığı yer olduğunu söylüyor. Diğerlerinin çoğu, kod yazıldıktan sonra, genellikle kodun işlenmesi sırasında veya yapının geri kalanıyla entegre edildiğinde hataları yakalar.
Robert, “Kimse bir taslağın orada burada birkaç hata yapmaktan rahatsızlık duymaz ve geliştiricilere güvenlik konusunda tavsiyelerde bulunurken olmasını istediğimiz zihinsel durum budur” diyor. “Eğer taahhütte olsaydık [or, more commonly, in the CI]bir geliştiricinin ‘Bu benim son sürümüm, bu kodun kullanıma hazır olduğunu’ söylemesinden sonra temel olarak sorunları işaretliyor olurduk.”
Lansmanın bir parçası olarak Symbiotic Security ayrıca Lerer Hippeau, Axeleo Capital ve Factorial Capital gibi yatırımcılardan 3 milyon dolarlık başlangıç fonu topladı. Symbiotic Security, ürününün şu anda sekiz şirkette kullanıldığını söyledi.
