Bagaimana Tim Keamanan Anda Dapat Membantu Pengembang Bergeser ke Kiri?

Pertanyaan: Bagaimana caranya agar organisasi saya mengalihkan keamanannya ke kiri tanpa memperlambat pengembang kami?

Scott Gerlach, CSO dan salah satu pendiri StackHawk: Pada akhirnya, hal ini memerlukan perpaduan antara manusia, proses, dan teknologi. Perkakas sendiri tidak dapat membawa Anda ke sana. Saya biasanya merekomendasikan enam langkah berikut kepada organisasi yang memulai perjalanannya. Ketika tim menerapkan langkah-langkah ini, mereka sebenarnya dapat mulai mengalihkan keamanan ke kiri tanpa mengurangi kecepatan pengembang.

1. Libatkan Tim Pengembang di Awal Proses Desain AppSec

Pengembang harus dilibatkan dalam pengambilan keputusan agar shift-kiri dapat bekerja. Bermitra dengan mereka untuk:

• Evaluasi dan lakukan onboarding perkakas.
• Tetapkan siklus perbaikan yang sesuai.
• Tentukan bagaimana temuan akan ditugaskan dan dilacak.
• Dapatkan dukungan dari pimpinan pembangunan.

Proses AppSec harus dirancang untuk mengurangi gangguan pengembang dan membantu mengeluarkan perangkat lunak.

2. Libatkan Tim Keamanan Di Awal Proses Pembangunan

Pengembang harus mengomunikasikan tujuan aplikasi dan signifikansi bisnisnya, beserta jenis data yang akan ditangani dan fungsionalitas yang dimaksudkan, kepada tim keamanan pada awal desain aplikasi. Tim keamanan kemudian dapat secara akurat menilai toleransi risiko dan memberikan panduan dalam menerapkan langkah-langkah keamanan, seperti otentikasi dan enkripsi, sebelum pengkodean dimulai.

3. Bantu Pengembang Membantu Dirinya Sendiri

Gunakan alat yang membantu pengembang memahami masalah yang ditemukan, mengapa masalah tersebut penting, dan cara mereproduksinya sehingga mereka dapat memperbaikinya. Langkah selanjutnya adalah membiarkan pengembang mendokumentasikan keputusan keamanan dengan melakukan triase temuan. Tujuannya di sini adalah untuk belajar bersama, bukan melakukannya dengan benar 100% setiap saat.

4. Memberikan Pelatihan Keamanan Tertarget untuk Pengembang

Saat Anda mengizinkan pengembang untuk mendokumentasikan keputusan, Anda dapat menggunakan informasi tersebut untuk memberikan pelatihan yang ditargetkan berdasarkan pola dalam konteks kode mereka dan pentingnya bagi bisnis.

Misalnya, Tim A berulang kali membuat skrip lintas situs (XSS) kesalahan dalam kode booting pegas. Fokuskan sumber daya pelatihan pada hal tersebut, bukan pada materi umum.

5. Mengotomatiskan Pengujian Keamanan di CI/CD

Pengujian dalam CI/CD membantu memastikan bahwa keamanan diintegrasikan ke dalam proses pengembangan bersama dengan pengujian perangkat lunak otomatis lainnya, seperti pengujian unit dan integrasi. Mulailah dengan mengotomatiskan pengujian untuk ancaman aplikasi Web yang umum, seperti serangan injeksi, paparan data sensitif, dan XSS.

6. Berkolaborasi Antar Tim Pembangunan, Keamanan, dan Operasi

Melemparkan laporan kerentanan ke tim berikutnya bukanlah kolaborasi. Menerapkan langkah-langkah di atas akan menetapkan landasan bagi tim untuk bekerja sama efektif untuk mengidentifikasi potensi risiko keamanan dan mengembangkan strategi untuk memitigasi risiko tersebut.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/edge-ask-the-experts/how-can-your-security-team-help-developers-shift-left