Ερώτηση: Πώς μπορώ να κάνω τον οργανισμό μου να μετατοπίσει την ασφάλειά του προς τα αριστερά χωρίς να επιβραδύνει τους προγραμματιστές μας;
Scott Gerlach, CSO και συνιδρυτής του StackHawk: Τελικά, απαιτεί ένα μείγμα ανθρώπων, διαδικασιών και τεχνολογίας. Η χρήση εργαλείων από μόνη της δεν μπορεί να σας οδηγήσει εκεί. Συνήθως προτείνω τα ακόλουθα έξι βήματα σε οργανισμούς που ξεκινούν το ταξίδι τους. Όταν οι ομάδες εφαρμόζουν αυτά τα βήματα, μπορούν πραγματικά να αρχίσουν να μετατοπίζουν την ασφάλεια προς τα αριστερά χωρίς να διακυβεύεται η ταχύτητα του προγραμματιστή.
1. Συμμετέχετε από νωρίς την Ομάδα Ανάπτυξης στη Διαδικασία σχεδίασης AppSec
Οι προγραμματιστές πρέπει να συμμετέχουν στις αποφάσεις για να εργαστούν με βάρδια-αριστερά. Συνεργαστείτε μαζί τους για:
- Αξιολογήστε και ενσωματώστε τα εργαλεία.
- Καθιερώστε κατάλληλους κύκλους επιδιόρθωσης.
- Καθορίστε πώς θα εκχωρηθούν και θα παρακολουθηθούν τα ευρήματα.
- Λάβετε ανταπόκριση από την ηγεσία της ανάπτυξης.
Η διαδικασία AppSec πρέπει να έχει σχεδιαστεί έτσι ώστε να διακόπτει λιγότερο τους προγραμματιστές και να βοηθά να βγαίνει το λογισμικό από την πόρτα.
2. Συμμετέχετε από νωρίς την Ομάδα Ασφαλείας στη Διαδικασία Ανάπτυξης
Οι προγραμματιστές θα πρέπει να κοινοποιούν τους στόχους και την επιχειρηματική σημασία της εφαρμογής τους, μαζί με τον τύπο των δεδομένων που θα χειριστεί και την προβλεπόμενη λειτουργικότητά τους, στην ομάδα ασφαλείας κατά την έναρξη του σχεδιασμού της εφαρμογής. Η ομάδα ασφαλείας μπορεί στη συνέχεια να αξιολογήσει με ακρίβεια την ανοχή κινδύνου και να παράσχει καθοδήγηση σχετικά με την εφαρμογή μέτρων ασφαλείας, όπως ο έλεγχος ταυτότητας και η κρυπτογράφηση, πριν ξεκινήσει οποιαδήποτε κωδικοποίηση.
3. Βοηθήστε τους προγραμματιστές να βοηθήσουν τον εαυτό τους
Υιοθετήστε εργαλεία που βοηθούν τους προγραμματιστές να κατανοήσουν τι είναι ένα ζήτημα που ανακαλύφθηκε, γιατί είναι σημαντικό και πώς να το αναπαράγουν, ώστε να μπορούν να το διορθώσουν. Το επόμενο βήμα είναι να αφήσετε οι προγραμματιστές τεκμηριώνουν αποφάσεις ασφαλείας με τριγωνοποίηση ευρημάτων. Ο στόχος εδώ είναι να μάθουμε μαζί, όχι να το κάνουμε απόλυτα σωστό 100% των περιπτώσεων.
4. Παρέχετε στοχευμένη εκπαίδευση ασφάλειας για προγραμματιστές
Όταν επιτρέπετε στους προγραμματιστές να τεκμηριώνουν αποφάσεις, μπορείτε να χρησιμοποιήσετε αυτές τις πληροφορίες για να παρέχετε στοχευμένη εκπαίδευση με βάση μοτίβα στο πλαίσιο του κώδικα και της σημασίας τους για την επιχείρηση.
Για παράδειγμα, ας πούμε ότι η ομάδα Α κάνει επανειλημμένα δέσμη ενεργειών μεταξύ τοποθεσιών (XSS) σφάλματα στον κωδικό εκκίνησης της άνοιξης. Εστιάστε τους εκπαιδευτικούς πόρους σε αυτό αντί για γενικό υλικό.
5. Αυτοματοποιήστε τη δοκιμή ασφαλείας σε CI/CD
Δοκιμή σε CI/CD βοηθά στη διασφάλιση ότι η ασφάλεια ενσωματώνεται στη διαδικασία ανάπτυξης παράλληλα με άλλες αυτοματοποιημένες δοκιμές λογισμικού, όπως δοκιμές μονάδας και ενοποίησης. Ξεκινήστε με αυτοματοποίηση δοκιμών για κοινές απειλές εφαρμογών Ιστού, όπως επιθέσεις ένεσης, έκθεση σε ευαίσθητα δεδομένα και XSS.
6. Συνεργαστείτε μεταξύ των ομάδων ανάπτυξης, ασφάλειας και λειτουργίας
Το να πετάμε αναφορές ευπάθειας πάνω από έναν τοίχο στην επόμενη ομάδα δεν είναι συνεργασία. Η εφαρμογή των παραπάνω βημάτων θέτει τα θεμέλια για να συνεργαστούν οι ομάδες αποτελεσματικά για τον εντοπισμό πιθανών κινδύνων ασφάλειας και την ανάπτυξη στρατηγικών για τον μετριασμό αυτών των κινδύνων.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/edge-ask-the-experts/how-can-your-security-team-help-developers-shift-left
- :είναι
- :δεν
- a
- πάνω από
- απολύτως
- με ακρίβεια
- πραγματικά
- επιτρέπουν
- κατά μήκος
- κατά μήκος της πλευράς
- μεταξύ των
- και
- κάθε
- Εφαρμογή
- Εφαρμογή
- εφαρμόζοντας
- κατάλληλος
- AS
- εκτιμώ
- ανατεθεί
- At
- Επιθέσεις
- Πιστοποίηση
- αυτοματοποίηση
- Αυτοματοποιημένη
- αυτοματοποίηση
- βασίζονται
- BE
- πριν
- Αρχή
- επιχείρηση
- by
- CAN
- δεν μπορώ
- Συνιδρυτής
- κωδικός
- Κωδικοποίηση
- συνεργάζομαι
- συνεργασία
- επικοινωνούν
- συμβιβασμός
- συμφραζόμενα
- κύκλους
- ημερομηνία
- αποφάσεις
- Υπηρεσίες
- σχεδιασμένα
- ανάπτυξη
- Εργολάβος
- προγραμματιστές
- Ανάπτυξη
- ομάδα ανάπτυξης
- ανακάλυψαν
- έγγραφο
- Θύρα
- κάτω
- Νωρίς
- κρυπτογράφηση
- εξασφαλίζω
- λάθη
- παράδειγμα
- Έκθεση
- ευρήματα
- σταθερός
- Συγκέντρωση
- Εξής
- Για
- Θεμέλιο
- από
- λειτουργικότητα
- παίρνω
- γκολ
- Στόχοι
- καθοδήγηση
- λαβή
- βοήθεια
- βοηθά
- εδώ
- Πως
- Πώς να
- HTTPS
- i
- προσδιορίσει
- εκτελεστικών
- σπουδαιότητα
- σημαντικό
- in
- πληροφορίες
- αντί
- ενσωματωθεί
- ολοκλήρωση
- προορίζονται
- σε
- εμπλέκω
- συμμετέχουν
- ζήτημα
- IT
- ΤΟΥ
- ταξίδι
- jpg
- Ηγεσία
- ΜΑΘΑΊΝΩ
- αριστερά
- μείον
- ας
- Μου αρέσει
- ΚΑΝΕΙ
- υλικό
- μέτρα
- Μετριάζω
- μείγμα
- πρέπει
- my
- επόμενη
- of
- on
- Onboard
- λειτουργίες
- επιχειρήσεις
- οργανώσεις
- ΑΛΛΑ
- δικός μας
- έξω
- επί
- δική
- εταίρος
- πρότυπα
- People
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- δυναμικού
- διαδικασια μας
- Διεργασίες
- παρέχουν
- συνιστώ
- ΚΑΤ 'ΕΠΑΝΑΛΗΨΗ
- Εκθέσεις
- Απαιτεί
- Υποστηρικτικό υλικό
- δεξιά
- Κίνδυνος
- κινδύνους
- s
- λένε
- ασφάλεια
- Μέτρα ασφαλείας
- κινδύνους ασφάλειας
- δοκιμές ασφαλείας
- ευαίσθητος
- Σέτς
- αλλαγή
- θα πρέπει να
- σημασία
- ΕΞΙ
- Αναστροφή
- So
- λογισμικό
- Δοκιμές Λογισμικού
- άνοιξη
- μπότα άνοιξη
- Εκκίνηση
- Βήμα
- Βήματα
- στρατηγικές
- τέτοιος
- στοχευμένες
- ομάδες
- Τεχνολογία
- Δοκιμές
- δοκιμές
- ότι
- Η
- τους
- Τους
- τότε
- Εκεί.
- Αυτοί
- αυτοί
- εκείνοι
- ώρα
- προς την
- μαζι
- ανοχή
- Εκπαίδευση
- τύπος
- συνήθως
- τελικά
- καταλαβαίνω
- μονάδα
- χρήση
- Ταχύτητα
- ευπάθεια
- Τοίχος
- ιστός
- Εφαρμογή Web
- Τι
- πότε
- WHY
- θα
- με
- εντός
- χωρίς
- Εργασία
- συνεργαστούν
- εσείς
- Σας
- zephyrnet