Независимо от того, что вам нужно, для этого есть приложение. На самом деле на сайте 1,81 миллиона приложений. ЯблокоApp Store в 2024 году, по данным Business of Apps. Эта растущая тенденция распространилась из наших карманов на наш бизнес благодаря более широкому внедрению программного обеспечения как услуги (SaaS) и облачных вычислений. В средней компании 371 SaaS приложений, в то время как IDC обнаружила, что компании потратили 315,5 миллиардов долларов на государственные облачные сервисы в первой половине 2023 года.
Все это программное обеспечение и все эти приложения созданы людьми, а люди, как известно, совершают ошибки. Ошибки в разработке программного обеспечения повышают вероятность атак, что приводит к инцидентам безопасности. Умножьте эти риски на размер вашего технологического стека, и обеспечение безопасности вашей среды окажется практически невозможным.
Выявляйте проблемы на ранней стадии
Чтобы облегчить часть рисков и бремя безопасности, найдите проблемы на более ранних этапах процесса разработки программного обеспечения. Это называется концепцией «сдвига влево», поскольку она предполагает выполнение сканирования и проверки безопасности на более ранних этапах жизненного цикла разработки программного обеспечения (SDLC). Программное обеспечение для сканирования в конвейере непрерывной интеграции/непрерывного развертывания (CI/CD) отмечаются проблемы, требующие внимания, прежде чем они станут уязвимыми для злоумышленников. Обнаружив ошибки, неправильные конфигурации или уязвимости раньше, вы также сможете исправить их раньше и с меньшими затратами, чем когда те же самые проблемы возникают в производственных приложениях или являются частью программного обеспечения, развернутого на тысячах или миллионах реальных ресурсов.
Хотя концепция безопасности со сдвигом влево обсуждалась как лучшая практика в течение последних нескольких лет, она, похоже, не реализована должным образом. Данные отчета Sysdig 2024 Cloud-Native Security and Usage Report показали, что сканирование производственных систем завершалось неудачно чаще, чем сканирование в конвейере сборки CI/CD. В отчете выявлено 91% сбоев политики производственного сканирования, а при CI/CD-сканировании — 71%. Сканирование CI/CD выполняется перед сканированием во время выполнения рабочей среды, поэтому любые сбои, зафиксированные в конвейере сборки CI/CD, должны быть исправлены до их сканирования во время выполнения. Так почему же мы наблюдаем такой высокий процент сбоев во время выполнения, если концепция сдвига влево является лучшей практикой?
Стратег по кибербезопасности, Sysdig.
Внесение изменений в ваши процессы
Прежде всего, улучшение сотрудничество Между командами, а не просто решать только требования безопасности, почти всегда оказывается более эффективным и устойчивым. С точки зрения разработчика, сдвиг влево требует дополнительных обязанностей по исправлениям и изменениям без дополнительной помощи. Для них сдвиг влево может выглядеть скорее как увеличение рабочей нагрузки, чем изменение подхода, которое может снизить риски безопасности.
Чтобы преодолеть это препятствие и заставить работать процессы сдвига влево, сотрудники службы безопасности должны понимать, как их коллеги-разработчики на самом деле работают на практике. Соблюдают ли создаваемые ими приложения традиционные принципы проектирования, являются ли они облачными приложениями, предназначенными для распределенных, неизменяемых и эфемерных (DIE), или существует комбинация сборок при переходе от традиционных к облачным?
Лучше понимая, насколько сложными являются их среды и сборки приложений, группы безопасности могут помочь разработчикам понять, какие риски существуют в их приложениях, а также как расставить приоритеты и смягчить самые серьезные угрозы до того, как они будут реализованы в рабочей среде. Это должно включать определение того, насколько значим риск для вашей организации и среды, а также какие шаги необходимо предпринять для снижения риска. Этот процесс гарантирует, что разработчики могут сосредоточиться на любых изменениях, которые им необходимо внести там, где они необходимы больше всего, например, на критических уязвимостях, которые можно использовать, или неправильных конфигурациях.
Аналогично, группы безопасности и их инструменты также могут отмечать, где в стандартные образы контейнеров могут быть включены ненужные компоненты или разрешения. Разработчики часто используют программные контейнеры или образы машин в качестве стандартизированных шаблонов для развертывания. Однако если эти шаблоны содержат устаревшие компоненты, каждое использование этого шаблона будет помечено как дополнительная угроза безопасности. Обновление шаблонов рабочей нагрузки разработчиков уменьшит количество предупреждений и рисков безопасности, а также сведет к минимуму повторяющиеся рабочие усилия.
Улучшите безопасность перед началом производства
В идеале программные контейнеры должны быть неизменяемыми. Это означает, что рабочая нагрузка не меняется во время выполнения. Дрейф контейнера, то есть модификации и обновления, внесенные в контейнер во время производства, часто вызывают оповещения системы безопасности, но это обычная практика для разработчиков. Если разработчики воздерживаются от изменений рабочей нагрузки во время выполнения (контроль дрейфа), группы безопасности могут установить более чувствительные и более точные обнаружения дрейфа контейнеров, указывая на потенциально вредоносную активность, а не на шум разработки.
Сканирование во время выполнения более точно выявляет проблемы безопасности, активные в производственной среде. Благодаря такому сканированию проблемы безопасности становятся ближе к команде безопасности, а не передаются разработчикам. Проблемы, существующие в производственной среде, могут негативно повлиять на бизнес-операции.
Долгосрочные выгоды в области безопасности
Мы все полагаемся на программное обеспечение и приложения в нашей повседневной жизни и наших организациях. Это программное обеспечение должно быть защищено. Мы можем повысить его безопасность, сдвинувшись влево и придерживаясь мантры «задуманная безопасность». Программное обеспечение и приложения, созданные с учетом требований безопасности, имеют меньший риск атак и вызывают меньше сбоев при сканировании политик, что снижает нагрузку на безопасность как для групп безопасности, так и для разработчиков.
На практике группам безопасности необходимо работать с разработчиками, чтобы указать, где существуют эти потенциальные риски и как их можно устранить. В то же время разработчики могут обучать команды безопасности и сотрудничать с ними, чтобы предотвратить попадание проблем в код или компоненты инфраструктуры. Такая командная работа и общие цели улучшат общее качество программного обеспечения и безопасность во всей организации.
Мы составили список лучших программ для разработки мобильных приложений..
Эта статья была подготовлена в рамках канала Expert Insights от TechRadarPro, где мы рассказываем о лучших и ярких умах современной технологической отрасли. Мнения, выраженные здесь, принадлежат автору и не обязательно совпадают с мнением TechRadarPro или Future plc. Если вы заинтересованы в участии, узнайте больше здесь: https://www.techradar.com/news/submit-your-story-to-techradar-pro
2024-03-25 06:48:10
1711349731
#Устранение #разрыва #между #безопасностью #разработчиками
