كيف يمكن لـ shift left security و DevSecOps حماية سلسلة توريد البرامج
انضم إلى كبار المديرين التنفيذيين في سان فرانسيسكو يومي 11 و 12 يوليو ، لمعرفة كيف يدمج القادة استثمارات الذكاء الاصطناعي ويحسنونها لتحقيق النجاح.. يتعلم أكثر
لا ينبغي أن يكون الأمن فكرة متأخرة. يعد إصدار التعليمات البرمجية المليئة بالمآثر والأخطاء وصفة لكارثة. هذا هو السبب في أن المزيد والمزيد من المؤسسات تتطلع إلى تحويل الأمان إلى اليسار – لمعالجة الثغرات الأمنية والاستغلال طوال دورة حياة التطوير بأكملها بدلاً من نهايتها.
على سبيل المثال ، في استطلاع GitLab ، قال 57٪ من أعضاء الفريق الأمني إن مؤسساتهم إما غيرت الأمن إلى اليسار أو تخطط لهذا العام.
حاول الكثيرون تنفيذ هذا النهج من خلال DevSecOps ، حيث تمارس 42٪ من الفرق عمليات DevSecOps ، وهو نهج يدمج عمليات فرق عمليات وأمن التطوير طوال دورة حياة التطوير.
في جوهره ، ينطوي التحول إلى اليسار على نقل اختبار الأمان من أواخر دورة حياة تطوير البرامج (SDLC) إلى وقت مبكر خلال مرحلة التصميم والتطوير. يكتسب هذا قوة جذب لأن المطورين يقومون بأتمتة اختبارات الأمان ودمجها في أدوات التطوير وخطوط أنابيب CI / CD للحصول على منتجات آمنة في السوق بشكل أسرع.
حدث
تحويل 2023
انضم إلينا في سان فرانسيسكو يومي 11 و 12 يوليو ، حيث سيشارك كبار المسؤولين التنفيذيين في كيفية دمج استثمارات الذكاء الاصطناعي وتحسينها لتحقيق النجاح وتجنب المزالق الشائعة.
سجل الان
التفويض بالتطوير المستمر
من أكبر التحديات التي تواجه الفرق الحديثة هي الحاجة إلى التطوير المستمر للتطبيقات والخدمات. تظهر الأبحاث أن 31.3٪ من المطورين يطلقون مرة واحدة في الأسبوع إلى مرة واحدة في الشهر ، بينما يصدر 27.3٪ كل شهر إلى ستة أشهر ، و 10.8٪ يطلقون عدة مرات في اليوم.
يعني الطلب على التطوير المستمر أن الأمان غالبًا ما يتم نسيانه بدلاً من الالتزام بالمواعيد النهائية ، مما يؤدي إلى شحن التطبيقات مع وجود نقاط ضعف. على سبيل المثال ، وجدت إحدى الدراسات أن 74٪ من الشركات تقوم بشكل متكرر أو روتيني بإصدار برامج بها نقاط ضعف لم تتم معالجتها.
تساعد مناهج Shift left في معالجة هذه التحديات من خلال تضمين الأمان في وقت مبكر من عملية التطوير لمعالجة الثغرات الأمنية عند ظهورها في التعليمات البرمجية ، قبل أن تتاح لها فرصة التأثير على المستخدمين النهائيين.
قال آرون أوه ، مستشار المخاطر والمالية العضو المنتدب لـ DevSecOps في Deloitte.
قال أوه ، “في نفس السياق ، من خلال المعالجة الاستباقية للأخطاء الأمنية ، لا تتطلب الإصلاحات إعادة التصميم وإعادة الهندسة ، مما يؤدي إلى خفض التكلفة”.
قبل وبعد
ربما تكون أكبر ميزة لأمن التحول إلى اليسار هي أنه يلغي حاجة المطورين إلى تشغيل التحكم في الضرر على نقاط الضعف بعد الإصدار ، مما يقلل من تعرض المستخدمين النهائيين للجهات الفاعلة في التهديد.
“في النموذج القديم ، حيث تم إجراء اختبارات الأمان لأول يمين قبل جدولة إصدار المنتج ، تم تحديد نتيجة حتمية عالية أو حاسمة من شأنها إلغاء إصدار المنتج – أو ما هو أسوأ ، يتم إصدار المنتج مع قالت جانيت ورثينجتون ، المحللة في شركة Forrester ، إن الكود الضعيف يعرض المؤسسة وعملائها للخطر.
من خلال تنفيذ نهج أسلوب DevSecOps ، يمكن للمؤسسة تجنب الحاجة إلى إنشاء تذاكر وتصحيحات لخلل ما أو استغلاله بعد إصدار التطبيق.
قال ورثينجتون: “إن استخدام منهجية التحول إلى اليسار يمنع المشكلات الأمنية الجديدة من الانكماش في جبل الديون التقنية المتزايد باستمرار”. “يمكن للمطورين إصلاح مشكلات الأمان قبل دمج الكود في الفرع الرئيسي ، ولا يدخل الكود غير الآمن أبدًا في التطبيق ولا توجد بطاقة أمان لفتحه.”
يلاحظ ورثينجتون أن تبديل الخدمات اليسرى يقلل من التنقل بين فرق الأمن والتطوير.
تتيح أتمتة اختبارات الأمان عبر SDLC للمطورين إنشاء ملاحظات في الوقت الفعلي حول مشكلات الأمان في سياق التعليمات البرمجية الخاصة بهم ، جنبًا إلى جنب مع تفاصيل حول نقاط الضعف وكيفية معالجتها دون مناقشة بين الأمان والتطوير.
كيف يؤدي إصلاح الثغرات في وقت سابق إلى زيادة فعالية التكلفة
في عالم تطوير البرمجيات ، الوقت هو المال. قال Sashank Purighalla ، المؤسس والرئيس التنفيذي في إطار عمل BOS.
وكلما أسرع المطور في تحديد ثغرة أمنية في أحد التطبيقات ، كلما تمكن من إصلاحها سريعًا قبل أن يتسبب في تأثير تشغيلي ، والذي ليس له فائدة مالية فحسب ، بل يزيد من الأمان ككل.
قال Purighalla: “يمكن أن يساعد تغيير الأمان إلى اليسار المؤسسات على بناء برامج أكثر أمانًا من خلال دمج أفضل الممارسات الأمنية والاختبار في عملية التطوير ، بدلاً من الاعتماد فقط على التدابير التفاعلية مثل اختبار الاختراق أو الاستجابة للحوادث”.
بالإضافة إلى ذلك ، “التحول إلى اليسار يقلل من عمليات التطوير التي تدخل في إصلاح الثغرات الأمنية النظامية بأثر رجعي من خلال تحليل الثغرات ، مما يقلل بشكل كبير من تكلفة بناء برمجيات آمنة / القيام بذلك بشكل صحيح في المرة الأولى” المحزن Purighalla.
عند الأخذ في الاعتبار أن متوسط الوقت اللازم لإصلاح ثغرة خطيرة هو 60 يومًا داخل المؤسسة ، فإن معالجة الثغرات الأمنية أثناء التطوير تكون أكثر كفاءة من انتظار إصلاحها بعد الإصدار.
من التحول من اليسار إلى التحول في كل مكان
نظرًا لأن المزيد من المؤسسات تتطلع إلى التحول إلى اليسار ، فإنها تتخذ نهجًا أوسع وتبدأ في التحول في كل مكان ، وإجراء اختبارات الأمان في جميع أنحاء SDLC بالكامل ، من اليسار إلى اليمين ، من الترميز الأولي إلى الإنتاج.
قال إرني بيو ، العضو المنتدب في شركة Forgepoint Capital: “من التحول إلى حركة اليسار ، شهدنا أيضًا تحركًا نحو التحول في كل مكان”. “يدور هذا المفهوم حول إجراء اختبار أمان التطبيق الصحيح بأسرع ما يمكن في دورة تطوير البرامج ، سواء كان ذلك في التعليمات البرمجية أو واجهات برمجة التطبيقات أو التطبيقات المعبأة في حاويات أو نقاط أخرى.”
تجدر الإشارة إلى أن الأتمتة تلعب دورًا مهمًا في جعل اختبار الأمان ممكنًا وقابلًا للتطوير في جميع أنحاء SDLC.
قال Bio: “من الأمثلة الرائعة على ذلك NowSecure ، وهي شركة تساعد مطوري الأجهزة المحمولة على اختبار التعليمات البرمجية عبر نظام أساسي سحابي آلي وقابل للتطوير بدرجة كبيرة يتكامل مع عملية CI / CD الخاصة بالمؤسسة”. “نظرًا لأن الشركات تتحول إلى اليسار وتعتمد بشكل متزايد على موردي الأطراف الثالثة ، فإن ضمان سلامة هذه العمليات وأمانها سيكون أمرًا مهمًا للغاية لقادة الأمن.”
في الأساس ، يعتبر التحول في كل مكان هو الاعتراف بأن المطورين لا يمكنهم ترك البرامج في البرية بمجرد إصدارها ، ولكن يجب أن يكون لديهم عملية لإصلاح وصيانة البرامج المتاحة للجمهور لتأمين سلسلة توريد البرامج والحفاظ على تجربة المستخدم.
مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.
