Πώς μπορεί η ομάδα ασφαλείας σας να βοηθήσει τους προγραμματιστές να στραφούν προς τα αριστερά;

Ερώτηση: Πώς μπορώ να κάνω τον οργανισμό μου να μετατοπίσει την ασφάλειά του προς τα αριστερά χωρίς να επιβραδύνει τους προγραμματιστές μας;

Scott Gerlach, CSO και συνιδρυτής του StackHawk: Τελικά, απαιτεί ένα μείγμα ανθρώπων, διαδικασιών και τεχνολογίας. Η χρήση εργαλείων από μόνη της δεν μπορεί να σας οδηγήσει εκεί. Συνήθως προτείνω τα ακόλουθα έξι βήματα σε οργανισμούς που ξεκινούν το ταξίδι τους. Όταν οι ομάδες εφαρμόζουν αυτά τα βήματα, μπορούν πραγματικά να αρχίσουν να μετατοπίζουν την ασφάλεια προς τα αριστερά χωρίς να διακυβεύεται η ταχύτητα του προγραμματιστή.

1. Συμμετέχετε από νωρίς την Ομάδα Ανάπτυξης στη Διαδικασία σχεδίασης AppSec

Οι προγραμματιστές πρέπει να συμμετέχουν στις αποφάσεις για να εργαστούν με βάρδια-αριστερά. Συνεργαστείτε μαζί τους για:

• Αξιολογήστε και ενσωματώστε τα εργαλεία.
• Καθιερώστε κατάλληλους κύκλους επιδιόρθωσης.
• Καθορίστε πώς θα εκχωρηθούν και θα παρακολουθηθούν τα ευρήματα.
• Λάβετε ανταπόκριση από την ηγεσία της ανάπτυξης.

Η διαδικασία AppSec πρέπει να έχει σχεδιαστεί έτσι ώστε να διακόπτει λιγότερο τους προγραμματιστές και να βοηθά να βγαίνει το λογισμικό από την πόρτα.

2. Συμμετέχετε από νωρίς την Ομάδα Ασφαλείας στη Διαδικασία Ανάπτυξης

Οι προγραμματιστές θα πρέπει να κοινοποιούν τους στόχους και την επιχειρηματική σημασία της εφαρμογής τους, μαζί με τον τύπο των δεδομένων που θα χειριστεί και την προβλεπόμενη λειτουργικότητά τους, στην ομάδα ασφαλείας κατά την έναρξη του σχεδιασμού της εφαρμογής. Η ομάδα ασφαλείας μπορεί στη συνέχεια να αξιολογήσει με ακρίβεια την ανοχή κινδύνου και να παράσχει καθοδήγηση σχετικά με την εφαρμογή μέτρων ασφαλείας, όπως ο έλεγχος ταυτότητας και η κρυπτογράφηση, πριν ξεκινήσει οποιαδήποτε κωδικοποίηση.

3. Βοηθήστε τους προγραμματιστές να βοηθήσουν τον εαυτό τους

Υιοθετήστε εργαλεία που βοηθούν τους προγραμματιστές να κατανοήσουν τι είναι ένα ζήτημα που ανακαλύφθηκε, γιατί είναι σημαντικό και πώς να το αναπαράγουν, ώστε να μπορούν να το διορθώσουν. Το επόμενο βήμα είναι να αφήσετε οι προγραμματιστές τεκμηριώνουν αποφάσεις ασφαλείας με τριγωνοποίηση ευρημάτων. Ο στόχος εδώ είναι να μάθουμε μαζί, όχι να το κάνουμε απόλυτα σωστό 100% των περιπτώσεων.

4. Παρέχετε στοχευμένη εκπαίδευση ασφάλειας για προγραμματιστές

Όταν επιτρέπετε στους προγραμματιστές να τεκμηριώνουν αποφάσεις, μπορείτε να χρησιμοποιήσετε αυτές τις πληροφορίες για να παρέχετε στοχευμένη εκπαίδευση με βάση μοτίβα στο πλαίσιο του κώδικα και της σημασίας τους για την επιχείρηση.

Για παράδειγμα, ας πούμε ότι η ομάδα Α κάνει επανειλημμένα δέσμη ενεργειών μεταξύ τοποθεσιών (XSS) σφάλματα στον κωδικό εκκίνησης της άνοιξης. Εστιάστε τους εκπαιδευτικούς πόρους σε αυτό αντί για γενικό υλικό.

5. Αυτοματοποιήστε τη δοκιμή ασφαλείας σε CI/CD

Δοκιμή σε CI/CD βοηθά στη διασφάλιση ότι η ασφάλεια ενσωματώνεται στη διαδικασία ανάπτυξης παράλληλα με άλλες αυτοματοποιημένες δοκιμές λογισμικού, όπως δοκιμές μονάδας και ενοποίησης. Ξεκινήστε με αυτοματοποίηση δοκιμών για κοινές απειλές εφαρμογών Ιστού, όπως επιθέσεις ένεσης, έκθεση σε ευαίσθητα δεδομένα και XSS.

6. Συνεργαστείτε μεταξύ των ομάδων ανάπτυξης, ασφάλειας και λειτουργίας

Το να πετάμε αναφορές ευπάθειας πάνω από έναν τοίχο στην επόμενη ομάδα δεν είναι συνεργασία. Η εφαρμογή των παραπάνω βημάτων θέτει τα θεμέλια για να συνεργαστούν οι ομάδες αποτελεσματικά για τον εντοπισμό πιθανών κινδύνων ασφάλειας και την ανάπτυξη στρατηγικών για τον μετριασμό αυτών των κινδύνων.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/edge-ask-the-experts/how-can-your-security-team-help-developers-shift-left