Domanda: come posso convincere la mia organizzazione a spostare la sicurezza a sinistra senza rallentare i nostri sviluppatori?
Scott Gerlach, CSO e co-fondatore di StackHawk: In definitiva, richiede un mix di persone, processi e tecnologia. Gli strumenti da soli non possono portarti lì. In genere consiglio i seguenti sei passaggi alle organizzazioni che iniziano il loro viaggio. Quando i team applicano questi passaggi, possono effettivamente iniziare a spostare la sicurezza a sinistra senza compromettere la velocità degli sviluppatori.
1. Coinvolgere il team di sviluppo nelle prime fasi del processo di progettazione di AppSec
Gli sviluppatori devono essere coinvolti nelle decisioni affinché lo spostamento a sinistra funzioni. Collaborare con loro per:
- Valutare e integrare gli strumenti.
- Stabilire cicli di correzione appropriati.
- Determinare come verranno assegnati e monitorati i risultati.
- Ottieni il consenso della leadership dello sviluppo.
Il processo AppSec deve essere progettato per interrompere meno gli sviluppatori e aiutare a far uscire il software.
2. Coinvolgere il team di sicurezza nelle prime fasi del processo di sviluppo
Gli sviluppatori dovrebbero comunicare al team di sicurezza gli obiettivi aziendali e l'importanza aziendale, insieme al tipo di dati che gestirà e alle funzionalità previste, all'inizio della progettazione dell'applicazione. Il team di sicurezza può quindi valutare accuratamente la tolleranza al rischio e fornire indicazioni sull'implementazione di misure di sicurezza, come l'autenticazione e la crittografia, prima che inizi qualsiasi codifica.
3. Aiuta gli sviluppatori ad aiutare se stessi
Adotta strumenti che aiutino gli sviluppatori a capire cos'è un problema scoperto, perché è importante e come riprodurlo in modo che possano risolverlo. Il prossimo passo è lasciare gli sviluppatori documentano le decisioni sulla sicurezza mediante triage dei risultati. L’obiettivo qui è imparare insieme, non farlo assolutamente bene il 100% delle volte.
4. Fornire formazione mirata sulla sicurezza agli sviluppatori
Quando consenti agli sviluppatori di documentare le decisioni, puoi utilizzare tali informazioni per fornire formazione mirata basata su modelli nel contesto del loro codice e sull'importanza per l'azienda.
Ad esempio, supponiamo che la squadra A faccia ripetutamente cross Site Scripting (XSS) errori nel codice di avvio primaverile. Concentrare le risorse di formazione su questo invece che su materiale generico.
5. Automatizzare i test di sicurezza in CI/CD
Test in CI/CD aiuta a garantire che la sicurezza sia integrata nel processo di sviluppo insieme ad altri test software automatizzati, come test unitari e di integrazione. Inizia automatizzando i test per minacce comuni alle applicazioni Web, come attacchi di tipo injection, esposizione di dati sensibili e XSS.
6. Collaborare tra i team di sviluppo, sicurezza e operazioni
Lanciare rapporti sulle vulnerabilità al team successivo non è collaborazione. L'applicazione dei passaggi precedenti pone le basi per la collaborazione dei team in maniera efficace identificare potenziali rischi per la sicurezza e sviluppare strategie per mitigare tali rischi.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/edge-ask-the-experts/how-can-your-security-team-help-developers-shift-left
- :È
- :non
- a
- sopra
- assolutamente
- con precisione
- effettivamente
- consentire
- lungo
- a fianco di
- tra
- ed
- in qualsiasi
- Applicazioni
- APPLICA
- AMMISSIONE
- opportuno
- AS
- valutare
- addetto
- At
- attacchi
- Autenticazione
- automatizzare
- Automatizzata
- Automatizzare
- basato
- BE
- prima
- Inizio
- affari
- by
- Materiale
- non può
- Co-fondatore
- codice
- codifica
- collaboreranno
- collaborazione
- comunicare
- compromettendo
- contesto
- cicli
- dati
- decisioni
- Design
- progettato
- sviluppare
- Costruttori
- sviluppatori
- Mercato
- team di sviluppo
- scoperto
- documento
- Porta
- giù
- Presto
- crittografia
- garantire
- errori
- esempio
- Esposizione
- I risultati
- Fissare
- Focus
- i seguenti
- Nel
- Fondazione
- da
- funzionalità
- ottenere
- scopo
- Obiettivi
- guida
- maniglia
- Aiuto
- aiuta
- qui
- Come
- Tutorial
- HTTPS
- i
- identificare
- Implementazione
- importanza
- importante
- in
- informazioni
- invece
- integrato
- integrazione
- destinato
- ai miglioramenti
- coinvolgere
- coinvolto
- problema
- IT
- SUO
- viaggio
- jpg
- Leadership
- IMPARARE
- a sinistra
- meno
- lasciare
- piace
- FA
- materiale
- analisi
- Ridurre la perdita dienergia con una
- scelta
- devono obbligatoriamente:
- my
- GENERAZIONE
- of
- on
- Onboard
- Operazioni
- organizzazione
- organizzazioni
- Altro
- nostro
- su
- ancora
- proprio
- partner
- modelli
- Persone
- Platone
- Platone Data Intelligence
- PlatoneDati
- potenziale
- processi
- i processi
- fornire
- raccomandare
- RIPETUTAMENTE
- Report
- richiede
- Risorse
- destra
- Rischio
- rischi
- s
- dire
- problemi di
- Misure di sicurezza
- rischi per la sicurezza
- test di sicurezza
- delicata
- Set
- spostamento
- dovrebbero
- significato
- SIX
- Rallentamento
- So
- Software
- Software Testing
- primavera
- stivale primaverile
- inizia a
- step
- Passi
- strategie
- tale
- mirata
- team
- le squadre
- Tecnologia
- Testing
- test
- che
- Il
- loro
- Li
- poi
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- quelli
- tempo
- a
- insieme
- tolleranza
- Training
- Digitare
- tipicamente
- in definitiva
- capire
- unità
- uso
- Velocità
- vulnerabilità
- Muro
- sito web
- applicazione web
- Che
- quando
- perché
- volere
- con
- entro
- senza
- Lavora
- lavorare insieme
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro