Podjetja in razvijalci programske opreme že od samega začetka prevzemajo večjo odgovornost za razvoj varnih sistemov.
»Za razvoj varnih aplikacij bi morali razvijalci izvajati varno kodiranje, vključiti ustrezne varnostne ukrepe in upoštevati varnostna tveganja med razvojem in vsakodnevnimi operacijami. ”
Ne glede na naprave, ki jih razvijalci uporabljajo za ustvarjanje programske opreme, sprejemajo varne razvojne prakse za zaščito uporabnikov na spletu. Nedavna objava avtorja Forbes priznava, da mora biti varnost prednostna naloga, medtem ko podjetja tekmujejo za digitalno preobrazbo svojega poslovanja. Ta objava poudarja prakse razvoja programske opreme, ki jih razvijalci uporabljajo za zagotavljanje varnosti na spletu.
Testiranje s premikom v levo
Pristop testiranja s premikanjem v levo vključuje varnostne teste čim prej med razvojem. Pristop krepi tako operativne kot razvojne ekipe s procesi in orodji, da si delijo odgovornost za zagotavljanje varne programske opreme.
z premik levo testiranje, lahko podjetja pogosto izdajo novo programsko opremo, saj pomaga odpraviti običajna varnostna ozka grla in hrošče. V običajnem cevovodu za neprekinjeno dostavo je testiranje četrti korak življenjskega cikla razvoja programske opreme. Vendar pa testiranje s pomikom v levo razvijalcem omogoča vključitev različnih vidikov testiranja v razvojne faze, kar dobesedno premakne varnost v levo.
Kako implementirati testiranje Shift Left
V vsaki organizaciji je testiranje premika v levo drugačno. Spremenljivke, kot so trenutni procesi, izpostavljenost tveganju izdelka, velikost organizacije in število osebja, vplivajo na to, kako razvijalci pristopijo k temu premiku.
Kljub temu so naslednji trije koraki odlično izhodišče:
1. korak – Vzpostavite varnostne politike
Pri pristopu testiranja premikanja v levo je dobro izhodišče vzpostavljena varnostna politika. Takšni pravilniki lahko dosledno in samodejno postavijo meje, preden razvijalci začnejo delati, ter zagotovijo ključne podrobnosti za učinkovit in varen razvoj.
Varnostna politika mora vključevati dogovor o standardih kodiranja. Takšni standardi določajo konfiguracije in jezike, ki jih razvijalci uporabljajo v posebnih situacijah. Razvijalci bi morali brati iz istega skripta.
Poenostavlja jim pregled kode in zagotavlja, da je koda višje kakovosti. Ko so pravilniki vzpostavljeni, zmanjšuje hrošče v programski opremi z uporabo najboljših praks, ki razvijalcem pomagajo preprečiti slabe prakse kodiranja.
2. korak – vključite testiranje na začetku življenjskega cikla razvoja programske opreme
Ko bodo razvijalci spoznali varne prakse kodiranja, bo pametno ponovno oceniti SDLC. Poznavanje trenutnih praks bo pomagalo pri določanju majhnih korakov, ki jih lahko razvijalci naredijo, da vključijo testiranje v zgodnejši razvojni proces. Prav tako bodo lahko razvijalci prepoznali orodja, ki so lahko primerna za njihovo kodno zbirko.
Ena možna strategija, ki jo razvijalci uporabljajo, je sprejetje agilne metodologije, ki deluje z majhnimi koraki kode. To zajema vsako funkcijo z ustreznimi testi. V nekaterih organizacijah drastična sprememba v levo testiranje ni mogoča. V takih primerih se lahko razvijalci dogovorijo, da bodo napisali teste enot za vsako funkcijo.
3. korak – Integrirajte varnostno avtomatizacijo
S testiranjem pomika levo razvijalci pogosteje iščejo varnostne ranljivosti. Zato bi morali razvijalci sprejeti orodja za avtomatizacijo varnosti. Takšna orodja se zanašajo na procese programske opreme za raziskovanje, odkrivanje in odpravljanje zunanjih groženj programski opremi.
Avtomatizacija varnostnih testov pomaga pospešiti razvojni proces in pomaga razvijalcem skrajšati čas do trženja.
Konec koncev je pristop testiranja premika v levo sprememba kulture z orodjem kot enim ključnih elementov. Da bi uspeli, bi morali razvijalci sprejeti pristop z namenom povečanja hitrosti povratne zanke. Pri zagotavljanju spletne varnosti morajo razvoj, varnost in operacije sodelovati in deliti delovno obremenitev testiranja.
Pripeljite vse na krov
Danes nekateri mala podjetja povežite varnost z majhno specializirano ekipo. Pristop v trenutnem poslovnem okolju ni več izvedljiv. Na primer, povečanje vrzeli v spretnostih na področju kibernetske varnosti otežuje varnostnim ekipam, da dohitijo rast poslovanja. Imeti namensko varnostno ekipo med razvojnim procesom je torej ozko grlo.
Trenutna najboljša praksa za razvoj varnih aplikacij je DevSecOps. Priznava, da so za varnost odgovorni vsi, ki sodelujejo pri razvoju spletnih aplikacij. Pri tem pristopu razvijalci pišejo varno kodo, medtem ko inženirji za zagotavljanje kakovosti uporabljajo varnostne politike. Prav tako vsi vodstveni delavci sprejemajo odločitve z mislijo na varnost.
Tako pristop DevSecOps zahteva, da vsi razumejo varnostne grožnje in potencialne ranljivosti ter so odgovorni za varnost aplikacij. Čeprav lahko izobraževanje vseh zainteresiranih strani o pomenu varnosti zahteva čas in trud, se izplača z zagotavljanjem varnih aplikacij.
Posodobi programsko opremo
Večina kibernetskih napadov izkorišča znane ranljivosti v zastareli programski opremi. Da bi preprečili takšne primere, bi morali razvijalci zagotoviti, da so njihovi sistemi posodobljeni. Običajna in učinkovita praksa zagotavljanja varne programske opreme je redno popravljanje popravkov.
V povprečju je 70 % komponent programske opreme, ki jih razvijalci uporabljajo v aplikacijah, odprtokodnih. Zato bi morali imeti popis teh komponent. Razvijalcem pomaga zagotoviti, da izpolnjujejo licenčne obveznosti, povezane s temi komponentami, in ostanejo posodobljeni.
Z orodjem za analizo sestave programske opreme lahko razvijalci avtomatizirajo nalogo ustvarjanja inventarja ali kosovnice programske opreme. Orodje razvijalcem pomaga tudi s poudarjanjem licenčnih in varnostnih tveganj.
Usposabljanje uporabnikov
Usposabljanje zaposlenih bi moralo biti del varnostne DNK organizacije. Organizacije lahko zaščitijo svoja sredstva in podatke z dobro organiziranim varnostnim usposabljanjem za zaposlene. Usposabljanje za ozaveščanje vključuje usposabljanje za varno kodiranje za razvijalce programske opreme. Razvijalci lahko tudi simulirajo lažno predstavljanje, da zaposlenim pomagajo opaziti in ustaviti napade socialnega inženiringa.
Uveljavi najmanjši privilegij
Razvijalci zagotavljajo spletno varnost z uveljavljanjem minimalnih privilegijev za dostop, ki so potrebni uporabnikom in sistemom za opravljanje njihovih nalog. Z uveljavljanjem najmanjših privilegijev razvijalci znatno zmanjšajo površino napadov, tako da se izognejo nepotrebnim privilegijem dostopa, ki povzročajo različne kompromise.
Vključuje odpravo "plazenja privilegijev", do katerega pride, ko skrbniki ne uspejo preklicati dostopa do virov, ki jih zaposleni ne potrebuje več.
zaključek
Pri zagotavljanju spletne varnosti razvijalci nimajo najboljše rešitve. Vendar pa lahko z upoštevanjem najboljših praks zagotovijo varnost uporabnikov in organizacij na spletu. Te prakse vključujejo pristop testiranja s premikanjem v levo, vključno z vsemi v varnostnih praksah, pogosto posodabljajo programsko opremo, usposabljajo razvijalce in uporabnike ter uveljavljajo najmanj privilegijev za uporabnike in sisteme.
Preberite tudi Kako uporabljati AR in VR za boljšo prodajo v e-trgovini
Vir: https://www.aiiottalk.com/best-practices-that-ensure-online-safety/
- dostop
- okreten
- Sporazum
- vsi
- Analiza
- uporaba
- aplikacije
- AR
- Sredstva
- Napadi
- Avtomatizacija
- BEST
- najboljše prakse
- Bill
- hrošči
- poslovni
- podjetja
- primeri
- wrestling
- spremenite
- Koda
- Kodiranje
- Skupno
- Ustvarjanje
- Kultura
- Trenutna
- kibernetski napadi
- Cybersecurity
- datum
- dan
- dostavo
- dostava
- Razvoj
- Razvijalci
- razvoju
- Razvoj
- naprave
- DNK
- Zgodnje
- elektronskem poslovanju
- Učinkovito
- Zaposleni
- Inženiring
- Inženirji
- vodstvo
- Izkoristite
- Feature
- fiksna
- Forbes
- dobro
- veliko
- Rast
- Kako
- HTTPS
- identificirati
- Vključno
- Povečajte
- inventar
- razišče
- vključeni
- IT
- Ključne
- jeziki
- licenciranje
- Tržna
- materiali
- na spletu
- odprite
- open source
- operacije
- Organizacija
- organizacije
- Zaplata
- osebje
- Ribarjenje
- lažni napadi
- politike
- politika
- Izdelek
- zaščito
- kakovost
- Dirka
- reading
- viri
- pregleda
- Tveganje
- varna
- Varnost
- skeniranje
- varnost
- varnostne politike
- Varnostne grožnje
- nastavite
- nastavitev
- Delite s prijatelji, znanci, družino in partnerji :-)
- premik
- Silver
- Velikosti
- majhna
- So
- socialna
- Socialni inženiring
- Software
- Razvoj programske opreme
- hitrost
- standardi
- Začetek
- Strategija
- Površina
- sistemi
- Test
- Testiranje
- testi
- grožnje
- čas
- orodje
- orodja
- usposabljanje
- Transform
- Uporabniki
- vr
- Ranljivosti
- web
- spletne aplikacije
- deluje
