In che modo il tuo team di sicurezza può aiutare gli sviluppatori a spostarsi a sinistra?

Domanda: come posso convincere la mia organizzazione a spostare la sicurezza a sinistra senza rallentare i nostri sviluppatori?

Scott Gerlach, CSO e co-fondatore di StackHawk: In definitiva, richiede un mix di persone, processi e tecnologia. Gli strumenti da soli non possono portarti lì. In genere consiglio i seguenti sei passaggi alle organizzazioni che iniziano il loro viaggio. Quando i team applicano questi passaggi, possono effettivamente iniziare a spostare la sicurezza a sinistra senza compromettere la velocità degli sviluppatori.

1. Coinvolgere il team di sviluppo nelle prime fasi del processo di progettazione di AppSec

Gli sviluppatori devono essere coinvolti nelle decisioni affinché lo spostamento a sinistra funzioni. Collaborare con loro per:

• Valutare e integrare gli strumenti.
• Stabilire cicli di correzione appropriati.
• Determinare come verranno assegnati e monitorati i risultati.
• Ottieni il consenso della leadership dello sviluppo.

Il processo AppSec deve essere progettato per interrompere meno gli sviluppatori e aiutare a far uscire il software.

2. Coinvolgere il team di sicurezza nelle prime fasi del processo di sviluppo

Gli sviluppatori dovrebbero comunicare al team di sicurezza gli obiettivi aziendali e l'importanza aziendale, insieme al tipo di dati che gestirà e alle funzionalità previste, all'inizio della progettazione dell'applicazione. Il team di sicurezza può quindi valutare accuratamente la tolleranza al rischio e fornire indicazioni sull'implementazione di misure di sicurezza, come l'autenticazione e la crittografia, prima che inizi qualsiasi codifica.

3. Aiuta gli sviluppatori ad aiutare se stessi

Adotta strumenti che aiutino gli sviluppatori a capire cos'è un problema scoperto, perché è importante e come riprodurlo in modo che possano risolverlo. Il prossimo passo è lasciare gli sviluppatori documentano le decisioni sulla sicurezza mediante triage dei risultati. L’obiettivo qui è imparare insieme, non farlo assolutamente bene il 100% delle volte.

4. Fornire formazione mirata sulla sicurezza agli sviluppatori

Quando consenti agli sviluppatori di documentare le decisioni, puoi utilizzare tali informazioni per fornire formazione mirata basata su modelli nel contesto del loro codice e sull'importanza per l'azienda.

Ad esempio, supponiamo che la squadra A faccia ripetutamente cross Site Scripting (XSS) errori nel codice di avvio primaverile. Concentrare le risorse di formazione su questo invece che su materiale generico.

5. Automatizzare i test di sicurezza in CI/CD

Test in CI/CD aiuta a garantire che la sicurezza sia integrata nel processo di sviluppo insieme ad altri test software automatizzati, come test unitari e di integrazione. Inizia automatizzando i test per minacce comuni alle applicazioni Web, come attacchi di tipo injection, esposizione di dati sensibili e XSS.

6. Collaborare tra i team di sviluppo, sicurezza e operazioni

Lanciare rapporti sulle vulnerabilità al team successivo non è collaborazione. L'applicazione dei passaggi precedenti pone le basi per la collaborazione dei team in maniera efficace identificare potenziali rischi per la sicurezza e sviluppare strategie per mitigare tali rischi.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/edge-ask-the-experts/how-can-your-security-team-help-developers-shift-left