ادغام، ادغام، ادغام – شماره 8 2022

فارستر معتقد است که این تغییر ذهنیت و استراتژی می تواند اساساً موفقیت یک سازمان را در آینده تعیین کند. این شرکت می‌گوید که شرکت‌هایی با عملکرد بالا شرکت‌هایی هستند که مدیریت تغییر مبتنی بر کد را با قدرت فناوری و امنیت اجرا می‌کنند و امنیت و توسعه را در یک ردیف قرار می‌دهند. این یک ایده آل غیر واقعی نیز نیست. نظرسنجی ESG نشان داد که اکثر تیم‌های امنیتی با توسعه‌دهندگانی که آزمایش‌های امنیتی را انجام می‌دهند راحت هستند، و بزرگترین نگرانی این است که این امر می‌تواند فشار بی‌رویه بر تیم‌های توسعه وارد کند.

با تکنولوژی و امنیت توانمند شده است

ادغام، ادغام، ادغام

شماره 8 2022 زیرساخت فناوری اطلاعات

زمان آن فرا رسیده است که رویکردی مبتنی بر امنیت برای DevOps اتخاذ کنیم، رویکردی که زنگ‌ها و سوت‌های هشدار امنیتی را بدون اصطکاک و پیچیدگی‌های سنتی با استعداد و سرعت توسعه یکپارچه می‌کند. یک نظرسنجی انجام شده توسط ESG نشان داد که 68٪ از پاسخ دهندگان به دنبال راه حل های امنیتی متمرکز بر توسعه دهندگان و انتقال امنیت به توسعه دهندگان هستند.

او می‌گوید: «تهدیدهای امنیتی با چنان سرعتی در حال پیشرفت هستند که سازمان‌ها باید چابکی شدیدی را در عملیات و فرآیندهای توسعه‌شان تعبیه کنند تا از امنیت خود ادامه دهند.» «توسعه‌دهندگان باید بیشتر از گنجاندن امنیت در سیستم‌های خود، امنیت را در بهترین شیوه‌ها و فرآیندهای خود بپذیرند. این رویکرد DevOps را به سمت امنیت، دور از ذهنیت «پر کردن شکاف‌ها در پایان» و به سمت یک رویکرد قوی‌تر و انعطاف‌پذیرتر حرکت می‌دهد.»

مورد دوم به فیشینگ نیزه ای، صید نهنگ، کوبیدن و ویشینگ تبدیل شده است، در حالی که حملات DDoS در مقیاس بزرگتر پیچیده تر شده اند. نظرسنجی ESG نشان داد که 38 درصد از سازمان‌ها به دلیل استفاده ناامن از APIها داده‌های خود را از دست داده‌اند و 37 درصد به دلیل آسیب‌پذیری‌های کد داخلی دچار سوءاستفاده شده‌اند. این به 35٪ با خدمات به خطر افتاده به دلیل اعتبار حساب، و 34٪ که سیستم آنها به دلیل آسیب پذیری در نرم افزار منبع باز مورد سوء استفاده قرار گرفته است، می افزاید. این لیست ادامه دارد – واقعیت این است که امنیت یک اولویت ثابت و پایدار باقی می ماند.

ارزش مصالحه را هم ندارد. گزارش سالانه آژانس امنیت سایبری اروپا (ENISA) از چشم انداز تهدید در سال 2022، نگرانی هایی را که سازمان ها و تیم های DevOps در مورد خطرات امنیتی به اشتراک می گذارند، تقویت کرد. این گزارش هشت دسته تهدید اصلی را در باج‌افزار، بدافزار، مهندسی اجتماعی، تهدید علیه داده‌ها، انکار سرویس (DDoS)، تهدیدات اینترنتی، اطلاعات نادرست و حملات زنجیره تامین شناسایی کرده است. همچنین تاکید کرد که چگونه انکار سرویس، سوء استفاده‌های روز صفر و فیشینگ هم در موارد پیچیده و هم در موارد استفاده رشد کرده‌اند.

این چیز خوبیه. چیزی به اندازه خود DevOps – رویکردی که Forrester آن را به عنوان رویکردی توصیف می کند که “به طور مداوم زمان ورود به بازار را کاهش می دهد، چابکی شرکت را افزایش می دهد و مشاغل را انعطاف پذیرتر می کند”.

همچنین به همین دلیل است که این شرکت تحقیقاتی معتقد است که یکی از زمینه‌های کلیدی که DevOps در آن پیشرفت خواهد کرد، تکامل شیوه‌ها است. جایگزینی فرآیندها باعث می‌شود که پرسنل امنیتی و ریسک به سمت چپ جابجا شوند و در ابتدا به پروژه‌ها بپیوندند، نه اینکه در وسط یا انتهای کار قرار بگیرند. این دیدگاهی است که Mandla Mbonambi، مدیر عامل Africonology نیز به اشتراک گذاشته است و معتقد است که تغییر به چپ برای موفقیت یک پروژه DevOps به اندازه تخصص و قابلیت های خود تیم ها مهم و ضروری شده است.

Mbonambi می‌گوید: «این خطر وجود دارد که با ایجاد امنیت در فضای توسعه، شرکت‌ها احساس کنند که با ترکیب این دو در هزینه‌ها صرفه‌جویی می‌کنند، بدون اینکه به تیم‌های توسعه زمان یا منابع لازم برای اجرای مؤثر هر دو نقش بدهند.» این امر به طور بالقوه می تواند راه حل ها و کسب و کار را در معرض خطر بیشتری قرار دهد، زیرا نه توسعه و نه امنیت به جزئیات مورد نیاز توجه نمی شود. سرعت ورود به بازار یک فشار بسیار واقعی است و تیم ها می توانند در نهایت سازش کنند در حالی که اصلاً نباید مصالحه ای وجود داشته باشد.

Mbonambi نتیجه می‌گیرد: «در نهایت، وقتی صحبت از امنیت در DevOps یا توسعه در امنیت می‌شود، نباید معامله‌ای وجود داشته باشد. “بهترین پشتیبانی ممکن را در هر نقطه ای از تیم های خود ارائه دهید، خواه امنیت، عملیات یا توسعه، و اطمینان حاصل کنید که آنها منابع و زمان مورد نیاز برای طراحی راه حل های مقاوم و ایمن را دارند. این نه تنها سطحی از استحکام را در کسب و کار و خدمات شما تعبیه می کند، بلکه در دراز مدت باعث صرفه جویی در هزینه و زمان شما می شود. استفاده از یک ارائه دهنده خدمات شخص ثالث برون سپاری را در نظر بگیرید تا تیم های خود را تقویت کنید و اطمینان حاصل کنید که ضرب الاجل ها بدون مصالحه رعایت می شوند.”



منبع: https://www.securitysa.com/18178R