ساخت یک فرآیند امنیتی برنامه جامع – شماره 8 2022 – Altron Arrow

آموزش. آموزش کارکنان به طوری که بدانند چگونه با ابزارهای DevSecOps کار کنند بسیار مهم است. استفاده نادرست از ابزار به اندازه نداشتن ابزار بد است.

DevSecOps یکپارچه AppSec را به طور طبیعی در سازمان و در هر مرحله از توسعه نرم افزار ادغام کنید.

ساخت یک فرآیند AppSec جامع به چه معناست؟ بخش‌ها و بازارهای صنعت همگی متفاوت هستند و هر کدام نیازمندی‌های منحصر به فردی دارند. اما آنها نیاز به توسعه نرم افزار ایمن و ایمن، رعایت استانداردهای امنیتی و واکنش به تهدیدات را برای حفظ امنیت کسب و کار و مشتریان خود دارند.

امنیت برنامه


منبع: https://www.securitysa.com/18139R

پیچیدگی بیشتر، چرخه‌های توسعه کوتاه‌تر، و به هم پیوستگی و ماهیت همیشه فعال نرم‌افزار، به هکرها یک سطح فناوری دائماً در دسترس برای تلاش برای بهره‌برداری می‌دهد. ایمن سازی آن نرم افزار به چیزی بیش از ابزار نیاز دارد – نیازمند اولویت بندی امنیت و مدیریت فعالانه آن است. این بدان معناست که افراد، فرآیندها و فناوری را برای رسیدگی به خطرات امنیتی بر اساس سیاست‌های منحصربه‌فرد و اهداف تجاری سازمان هماهنگ کنید.

یک رویکرد جامع شامل درک تهدیدها و خطرات داخلی و خارجی، ایجاد یک پایه قوی برای فرآیند AppSec شما و به حداکثر رساندن ابزار AppSec شما (www.securitysa.com/*arrow) است. امنیت برنامه صرفاً در مورد استقرار ابزارها و اجرای آزمایش ها نیست. این در مورد همسویی افراد، فرآیند و فناوری برای رسیدگی به خطرات امنیتی برنامه به طور کلی است (www.securitysa.com/*arrow1).

ما اغلب روی فناوری و ابزارها تمرکز می کنیم و فرآیندها را فراموش می کنیم، در حالی که در واقع ابزارهایی برای تکمیل فرآیندها وجود دارند. اگر فقط روی یک نقطه از چرخه عمر توسعه نرم افزار (SDLC) تمرکز کنید، نمایه امنیتی شما ناقص است. در نظر گرفتن کل چرخه حیات ضروری است. امنیت را در هر مرحله از فرآیند توسعه، از جمله کدگذاری، ساخت، آزمایش، انتشار، استقرار، نظارت و غیره قرار دهید.

موفقیت یک برنامه امنیتی بدون ابزار مناسب امکان پذیر نیست. در زمان مناسب و در سطح مناسب تست کنید تا بتوانید نرم افزار واقعا ایمن بسازید. ابزارها می توانند کمبودهای امنیتی را نشان دهند و به شما در مورد نحوه مدیریت کارآمد آنها اطلاع دهند. اما ابزار به تنهایی کافی نیست. یک راه حل یکپارچه دیدگاه را متمرکز می کند و بازخورد ابزارهای امنیتی یک سازمان را یکپارچه می کند و تیم توسعه را قادر می سازد تا بلیط ها را اولویت بندی کند، اصلاحات را پیگیری کند و بینش های عملی ارائه دهد.

بوریس سیپوت.

فناوری دیجیتال محور زندگی مدرن امروزی است. در اطراف ما، فناوری در حال تبدیل عملیات تجاری از انتها به انتها، از کسب و کارهای دیجیتالی به آنهایی است که به سادگی فرآیندهای موجود را به روز می کنند. به گفته گارتنر (www.securitysa.com/*gartner3)، 65 درصد از مدیران گزارش می دهند که در سال 2021 سرعت ابتکارات تجاری دیجیتال خود را تسریع کرده اند. و این چابکی دیجیتال – فناوری ها، فرآیندهای کاری و فعالیت ها – همه به نرم افزار برای اجرا بستگی دارد. . این امر باعث می‌شود که بتوانیم اطمینان داشته باشیم که نرم‌افزار ایمن و ایمن است و می‌تواند خطرات را مدیریت کند.

هر کسب و کار مدرن یک تجارت نرم افزاری است، بنابراین نرم افزار یک ریسک بزرگ تجاری است. و از آنجایی که سازمان‌ها به دنبال راه‌هایی برای کاهش آسیب‌پذیری خود در برابر نقض‌های امنیتی هستند، بسیاری از آنها بار را بر دوش تیم‌های توسعه نرم‌افزار می‌اندازند تا همه مسائل امنیتی را حل کنند. یا آنها به سادگی نرم افزار امنیتی می خرند و به آن برای مقابله با ریسک اعتماد می کنند. اما در واقع، یک رویکرد جامع به امنیت برنامه (AppSec) رویکرد بهتری برای ایمن سازی سازمان و نرم افزار آن است.

ایجاد یک فرآیند امنیتی برنامه جامع نگر

شماره 8 2022 امنیت سایبری

توسط بوریس سیپوت، مهندس ارشد امنیت، گروه یکپارچگی نرم افزار Synopsys.

DevSecOps هوشمند و سیاست محور

روش‌های امنیتی سنتی سرعت DevOps (www.securitysa.com/*arrow3) را کاهش می‌دهند و ابزارهای بزرگ آزمایش AppSec می‌توانند خطوط لوله ساخت، آزمایش و انتشار را شلوغ کنند. ابزارهای امنیتی بیشتر به معنای آزمایش بیشتر است، به این معنی که یافته‌های بیشتری باید مرتبط، حذف و اولویت بندی شوند تا اطمینان حاصل شود که توسعه‌دهندگان با داده‌ها غرق نشده‌اند و نمی‌توانند روی مسائل امنیتی که مهم‌تر هستند تمرکز کنند.

معیارهای. اگر ندانید در حال حاضر در کجا هستید، نمی دانید برای آینده چه چیزی باید توسعه یا سرمایه گذاری کنید. یک گام کلیدی ایجاد یک ابزار اندازه گیری برای درک چگونگی عملکرد فرآیندهای موجود و اینکه کجا می توانند از بهبود، یا منابع یا بودجه اضافی بهره مند شوند، است.

برنامه ریزی. ایجاد یک برنامه امنیتی قابل اجرا بر اساس سیاست های سازمان شما بسیار مهم است. یک طرح امنیتی یک سند زنده است و با استفاده از آن، با کشف اطلاعات بیشتر در مورد افراد، فرآیندها و فن‌آوری‌های درگیر، و با کشف کمبودها، تکامل می‌یابد و بالغ می‌شود. هر طرحی تا زمانی که کار کند خوب است و سپس می توانید طرح جدیدی ایجاد کنید.

برای اطلاعات بیشتر با Altron Arrow، Nkateko Malindi تماس بگیرید، [email protected]



وام)

برای ایجاد (یا به روز رسانی) یک طرح امنیتی، یک سازمان باید برای اهداف اجماع ایجاد کند، وضعیت فعلی SDLC ایمن را تعیین کند، یک وضعیت هدف را شناسایی کند، و بودجه و مسیر رو به جلو را تعریف کند.

بلوغ DevSecOps. کلید یک فرآیند جامع و قوی AppSec ایجاد یک چارچوب بلوغ DevSecOps است. این به معنای تعریف حاکمیت و فرآیندها، ایجاد یک طراحی و معماری ایمن و عملکرد همه فرآیندها در این چارچوب است. سپس می توانید شناسایی کنید که چه ابزارهایی در هر مرحله از DevSecOps مستقر شده اند و آن را با برنامه مقایسه کنید.

فرهنگ AppSec واقعی فرهنگی است که در آن افراد، فرآیندها و فناوری‌ها برای به حداقل رساندن ریسک و متحول کردن کسب‌وکار در یک راستا قرار می‌گیرند. این فرهنگی است که توسط کل سازمان مشترک است، نه فقط در تیم های فناوری اطلاعات یا توسعه. فرهنگ جامع AppSec شامل قهرمانان امنیتی، معیارها، برنامه ریزی، چارچوب بلوغ DevSecOps (www.securitysa.com/*arrow2)، DevSecOps یکپارچه و آموزش است.

ساختن فرهنگ AppSec

سازمان هایی که از نرم افزار استفاده می کنند در یک وضعیت تهدید دائمی زندگی می کنند. برای نرم‌افزارهای متن‌باز، بین زمان معرفی آسیب‌پذیری و کشف آن می‌تواند روزها، ماه‌ها یا سال‌ها باشد. اما هنگامی که این نقض شناخته شود، آسیب پذیر می شود، زیرا هکرها همیشه در جستجو هستند و آماده حمله هستند. برای نرم‌افزار اختصاصی، معمولاً فقط زمانی درباره آسیب‌پذیری یاد می‌گیرید که آن آسیب‌پذیری مورد سوء استفاده قرار گیرد.

قهرمانان امنیت قهرمانان امنیت، کارکنانی هستند که دارای تفکر امنیتی در تیم فناوری اطلاعات یا توسعه هستند، یا کسانی که در زمینه امنیت تخصص دارند و می‌خواهند با کمک به اجرای آن فرآیند در سراسر SDLC، مالکیت فرآیند امنیتی برنامه را در دست بگیرند. قهرمانان همچنین تیم‌های توسعه را در مورد بهترین شیوه‌های امنیتی آموزش می‌دهند و از آسیب‌پذیری‌ها و تهدیدات فعلی برای نرم‌افزاری که سازمان شما استفاده می‌کند مطلع می‌شوند و آسیب‌پذیری‌ها و مسائل را در تیم‌ها به صورت داخلی دنبال می‌کنند.