در یک اقتصاد دیجیتالی که همیشه در حال گسترش است، موفق ترین کسب و کارها ابزارها، آموزش ها و منابعی را ارائه می دهند که تیم های توسعه نرم افزار خود را قادر می سازد تا به استانداردهای بالاتری از کار دست یابند و امنیت زیربنای این استراتژی است. نتیجه ایجاد سریع برنامه های کاربردی ایمن است که تقاضا را برآورده می کند. ماتیاس مادو، یکی از بنیانگذاران و CTO می نویسد، ریسک را کاهش دهید و اهداف تجاری سازمان را به جلو ببرید. جنگجو کد امن، که آموزش هایی را برای توسعه دهندگان ارائه می دهد.
این متأسفانه برای اکثر سازمان ها واقعیت ندارد. یک محیط کاری منفی می تواند باعث شود که توسعه دهندگان برای فرار از فرسودگی شغلی از یک کسب و کار به کسب و کار دیگر بپرند. در واقع یک پنجم به دنبال نقش دیگری هستند. این امر پیامدهایی برای امنیت خواهد داشت، زیرا احتمال کمتری دارد که کدگذاری ایمن در اولویت قرار گیرد در حالی که یک تیم پراکنده برای اجرای نوآوری مورد نظر شرکت، ارائه محصولات جدید به بازار و ایجاد مزیت رقابتی تلاش می کند.
بنابراین وظیفه رهبران کسب و کار است که بر نقش توسعه دهندگان و چگونگی ایجاد تفاوت در امنیت نرم افزار تمرکز کنند. انجام این کار به تعامل و مشارکت در استراتژی کلی امنیت کسب و کار کمک می کند. در اینجا سه مرحله وجود دارد که سازمان ها می توانند برای اولویت بندی فعال سازی توسعه دهندگان انجام دهند:
محیط مناسب را توسعه دهید
اولین قدم برای سازمان ها این است که ببینند در کجا باید تغییرات قابل توجهی در محیط کاری آنها ایجاد شود. کسب و کارها ابتدا باید وضعیت محیط اطراف خود را درک کنند – و این معمولاً مستلزم تجزیه و تحلیل بلوغ امنیتی کلی آنها و کشف چگونگی تشویق توسعه دهندگان به تکمیل و تقویت بیشتر آن است.
یکی از خواستههای اصلی توسعهدهندگان، دانستن تأثیر ملموسی است که روی هر پروژه میگذارند و به دنبال بهینهسازی نتایج نهایی هستند. با این حال، اغلب آنها در عوض خود را در حال مبارزه با جدولهای زمانی غیرواقعی میبینند که ناگزیر میتواند منجر به کار عجولانه و محصول نهایی ضعیف شود. مدیران هم همین اطمینان را میخواهند، اما باید در مورد چگونگی دستیابی به این اهداف بهتر ارتباط برقرار کنند. در جلو و مرکز باید یک فرهنگ امنیت محور وجود داشته باشد که توسعه دهندگان را در قلب کاهش ریسک در سطح کد قرار دهد. رهبران شرکت باید خارج از چارچوب فکر کنند تا انتقادات توسعه دهندگان در تجارت را برجسته کنند و ساختاری را طراحی کنند که در آن کار آنها برجسته شود و بر اساس آن پاداش دریافت کند.
تمرکز بر امنیت در سراسر بخش
این فقط به عهده متخصصان امنیتی نیست که مسئولیت اقدامات امنیتی گسترده تر در سازمان خود را بر عهده بگیرند. همه در سراسر کسب و کار باید در حفظ بالاترین استانداردهای ممکن نقش داشته باشند. فعالسازی توسعهدهنده فرصتهایی را ایجاد میکند تا توسعهدهندگان را در رویهها و اهداف شرکتی بزرگتر جاسازی کنند، بهجای اینکه صرفاً کارهایی که ممکن است بهنظر میرسد وظایف توسعه مستقل به نظر برسند، به آنها اختصاص داده شود. آنها باید به وضوح درک کنند که چگونه کاری که انجام می دهند با اهداف استراتژیک گسترده کسب و کاری که برای آن کار می کنند مرتبط است. در اینجا بسیار مهم است که با ایجاد محیطی که در آن CISOها، تیمهای امنیتی و توسعهدهندگان برای بهبود وضعیت امنیتی با یکدیگر همکاری میکنند، احساس سرمایهگذاری در موفقیت کلی سازمان را در آنها ایجاد کنیم.
مرحله بعدی این است که مراحل عملی را به وضوح تعریف کنیم که می تواند باعث ایجاد تغییر در سراسر تجارت شود. سازمانها اغلب سعی میکنند به یکباره کارهای زیادی را انجام دهند که در نهایت منجر به شکست میشود. در عوض، آنها باید به دنبال این باشند که امنیت را به یک مسئولیت تیمی تبدیل کنند که از مهارت های هر حرفه ای استفاده می کند. توسعهدهندگان میخواهند در کار خود احساس ارزشمندی کنند و باید در طول فرآیند توسعه، پروتکلهای امنیتی را اصلاح کنند.
فرصت های مستمر مهارت سازی را فراهم کنید
البته تغییر شیوه های امنیتی در کسب و کار به سطح تحصیلات ارائه شده به توسعه دهندگان نیز بستگی دارد. یک کمبود رایج، فقدان آموزش ارائه شده برای اطمینان از اینکه توسعه دهندگان می توانند مهارت های خود را افزایش دهند، است. این امر به ویژه در مورد رعایت مهلتهای زمانی دقیق و الزامات پروژه یا هر چیزی که نیاز به یک چرخش سریع دارد، مهم است.
یک دوره آموزشی یک روزه به سادگی سطح جزئیات مورد نیاز را برای توسعه دهندگان برای یادگیری مهارت های جدید و به کارگیری آن در کار روزانه خود ارائه نمی دهد. کسبوکارها باید مسیر خود را تغییر دهند و به دنبال روشهای آموزشی جامع برای پرورش توسعهدهندگان خوب باشند. آنها باید از تکنیکهای یادگیری سطحی استفاده کنند که به توسعهدهندگان اجازه میدهد برنامههای فردی را دنبال کنند که بر روی یکدیگر ساخته میشوند.
توسعه دهندگانی که از یادگیری مستمر بهره مند می شوند، قادر خواهند بود برنامه های بهتری ایجاد کنند، احساس کنند که در فرهنگ شرکت خود مشارکت بیشتری دارند. به آن وفادار بمانید و به ایجاد یک موقعیت امنیتی قوی در کسب و کار کمک کنید. رهبران موفق اغلب برنامه های آموزشی توسعه دهندگان را تنظیم می کنند و بر یادگیری مستمر تأکید می کنند. این فرصت های آموزشی باید اولویت بندی شوند و زمان کافی در روز کاری گروه توسعه برای درگیر شدن با وظایف آموزش داده شود.
نگاهی به آینده
فعال سازی توسعه دهندگان در آینده به طور فزاینده ای بر تکامل محیط اطراف آنها متمرکز خواهد شد. کسبوکارها باید این کار را انجام دهند تا توسعهدهندگان بتوانند به طور مؤثر با بخشهای دیگر همکاری کنند، در حالی که میتوانند به آموزش و فرصتهای آموزشی دقیق برای ایجاد مهارتهای خود دسترسی داشته باشند. برای رهبران سازمانی، فرصت ایجاد یک تغییر ملموس درست در مقابل آنهاست. بازنشانی کامل نحوه مشاهده توسعه دهندگان در برنامه امنیتی بسیار مهم است – برای شروع این فرآیند، باید از ابزارهایی برای تشویق روش های آموزشی جدید استفاده شود. این امر فوایدی را برای فرهنگ سازمانی فراهم میکند، کیفیت کد را افزایش میدهد و توسعهدهندگان را تشویق میکند تا در کسبوکار باقی بمانند و نقش خود را به طور مداوم به موفقیت برسانند.
منبع: https://www.professionalsecurity.co.uk/news/interviews/developers-at-heart-of-software-security/