توسط بوریس سیپوت، مهندس ارشد امنیت، گروه یکپارچگی نرم افزار Synopsys.
سازمان هایی که از نرم افزار استفاده می کنند در یک وضعیت تهدید دائمی زندگی می کنند. برای نرمافزارهای متنباز، بین زمان معرفی آسیبپذیری و کشف آن میتواند روزها، ماهها یا سالها باشد. اما هنگامی که این نقض شناخته شود، آسیب پذیر می شود، زیرا هکرها همیشه در جستجو هستند و آماده حمله هستند. برای نرمافزار اختصاصی، معمولاً فقط زمانی درباره آسیبپذیری یاد میگیرید که آن آسیبپذیری مورد سوء استفاده قرار گیرد.
بوریس سیپوت.
فرهنگ AppSec واقعی فرهنگی است که در آن افراد، فرآیندها و فناوریها برای به حداقل رساندن ریسک و متحول کردن کسبوکار در یک راستا قرار میگیرند. این فرهنگی است که توسط کل سازمان مشترک است، نه فقط در تیم های فناوری اطلاعات یا توسعه. فرهنگ جامع AppSec شامل قهرمانان امنیتی، معیارها، برنامه ریزی، چارچوب بلوغ DevSecOps (www.securitysa.com/*arrow2)، DevSecOps یکپارچه و آموزش است.
موفقیت یک برنامه امنیتی بدون ابزار مناسب امکان پذیر نیست. در زمان مناسب و در سطح مناسب تست کنید تا بتوانید نرم افزار واقعا ایمن بسازید. ابزارها می توانند کمبودهای امنیتی را نشان دهند و به شما در مورد نحوه مدیریت کارآمد آنها اطلاع دهند. اما ابزار به تنهایی کافی نیست. یک راه حل یکپارچه دیدگاه را متمرکز می کند و بازخورد ابزارهای امنیتی یک سازمان را یکپارچه می کند و تیم توسعه را قادر می سازد تا بلیط ها را اولویت بندی کند، اصلاحات را پیگیری کند و بینش های عملی ارائه دهد.
بلوغ DevSecOps. کلید یک فرآیند جامع و قوی AppSec ایجاد یک چارچوب بلوغ DevSecOps است. این به معنای تعریف حاکمیت و فرآیندها، ایجاد یک طراحی و معماری ایمن و عملکرد همه فرآیندها در این چارچوب است. سپس می توانید شناسایی کنید که چه ابزارهایی در هر مرحله از DevSecOps مستقر شده اند و آن را با برنامه مقایسه کنید.
برای ایجاد (یا به روز رسانی) یک طرح امنیتی، یک سازمان باید برای اهداف اجماع ایجاد کند، وضعیت فعلی SDLC ایمن را تعیین کند، یک وضعیت هدف را شناسایی کند، و بودجه و مسیر رو به جلو را تعریف کند.
امنیت برنامه
یک رویکرد جامع شامل درک تهدیدها و خطرات داخلی و خارجی، ایجاد یک پایه قوی برای فرآیند AppSec شما و به حداکثر رساندن ابزار AppSec شما (www.securitysa.com/*arrow) است. امنیت برنامه صرفاً در مورد استقرار ابزارها و اجرای آزمایش ها نیست. این در مورد همسویی افراد، فرآیند و فناوری برای رسیدگی به خطرات امنیتی برنامه به طور کلی است (www.securitysa.com/*arrow1).
معیارهای. اگر ندانید در حال حاضر در کجا هستید، نمی دانید برای آینده چه چیزی باید توسعه یا سرمایه گذاری کنید. یک گام کلیدی ایجاد یک ابزار اندازه گیری برای درک چگونگی عملکرد فرآیندهای موجود و اینکه کجا می توانند از بهبود، یا منابع یا بودجه اضافی بهره مند شوند، است.
منبع: https://www.securitysa.com/18139R
برای اطلاعات بیشتر با Altron Arrow، Nkateko Malindi تماس بگیرید، [email protected]
وام)
نسخه چاپگر پسندشماره 8 2022 امنیت سایبری
ما اغلب روی فناوری و ابزارها تمرکز می کنیم و فرآیندها را فراموش می کنیم، در حالی که در واقع ابزارهایی برای تکمیل فرآیندها وجود دارند. اگر فقط روی یک نقطه از چرخه عمر توسعه نرم افزار (SDLC) تمرکز کنید، نمایه امنیتی شما ناقص است. در نظر گرفتن کل چرخه حیات ضروری است. امنیت را در هر مرحله از فرآیند توسعه، از جمله کدگذاری، ساخت، آزمایش، انتشار، استقرار، نظارت و غیره قرار دهید.
برنامه ریزی. ایجاد یک برنامه امنیتی قابل اجرا بر اساس سیاست های سازمان شما بسیار مهم است. یک طرح امنیتی یک سند زنده است و با استفاده از آن، با کشف اطلاعات بیشتر در مورد افراد، فرآیندها و فنآوریهای درگیر، و با کشف کمبودها، تکامل مییابد و بالغ میشود. هر طرحی تا زمانی که کار کند خوب است و سپس می توانید طرح جدیدی ایجاد کنید.
قهرمانان امنیت قهرمانان امنیت، کارکنانی هستند که دارای تفکر امنیتی در تیم فناوری اطلاعات یا توسعه هستند، یا کسانی که در زمینه امنیت تخصص دارند و میخواهند با کمک به اجرای آن فرآیند در سراسر SDLC، مالکیت فرآیند امنیتی برنامه را در دست بگیرند. قهرمانان همچنین تیمهای توسعه را در مورد بهترین شیوههای امنیتی آموزش میدهند و از آسیبپذیریها و تهدیدات فعلی برای نرمافزاری که سازمان شما استفاده میکند مطلع میشوند و آسیبپذیریها و مسائل را در تیمها به صورت داخلی دنبال میکنند.
DevSecOps هوشمند و سیاست محور
هر کسب و کار مدرن یک تجارت نرم افزاری است، بنابراین نرم افزار یک ریسک بزرگ تجاری است. و از آنجایی که سازمانها به دنبال راههایی برای کاهش آسیبپذیری خود در برابر نقضهای امنیتی هستند، بسیاری از آنها بار را بر دوش تیمهای توسعه نرمافزار میاندازند تا همه مسائل امنیتی را حل کنند. یا آنها به سادگی نرم افزار امنیتی می خرند و به آن برای مقابله با ریسک اعتماد می کنند. اما در واقع، یک رویکرد جامع به امنیت برنامه (AppSec) رویکرد بهتری برای ایمن سازی سازمان و نرم افزار آن است.
پیچیدگی بیشتر، چرخههای توسعه کوتاهتر، و به هم پیوستگی و ماهیت همیشه فعال نرمافزار، به هکرها یک سطح فناوری دائماً در دسترس برای تلاش برای بهرهبرداری میدهد. ایمن سازی آن نرم افزار به چیزی بیش از ابزار نیاز دارد – نیازمند اولویت بندی امنیت و مدیریت فعالانه آن است. این بدان معناست که افراد، فرآیندها و فناوری را برای رسیدگی به خطرات امنیتی بر اساس سیاستهای منحصربهفرد و اهداف تجاری سازمان هماهنگ کنید.
ساختن فرهنگ AppSec
روشهای امنیتی سنتی سرعت DevOps (www.securitysa.com/*arrow3) را کاهش میدهند و ابزارهای بزرگ آزمایش AppSec میتوانند خطوط لوله ساخت، آزمایش و انتشار را شلوغ کنند. ابزارهای امنیتی بیشتر به معنای آزمایش بیشتر است، به این معنی که یافتههای بیشتری باید مرتبط، حذف و اولویت بندی شوند تا اطمینان حاصل شود که توسعهدهندگان با دادهها غرق نشدهاند و نمیتوانند روی مسائل امنیتی که مهمتر هستند تمرکز کنند.
ساخت یک فرآیند AppSec جامع به چه معناست؟ بخشها و بازارهای صنعت همگی متفاوت هستند و هر کدام نیازمندیهای منحصر به فردی دارند. اما آنها نیاز به توسعه نرم افزار ایمن و ایمن، رعایت استانداردهای امنیتی و واکنش به تهدیدات را برای حفظ امنیت کسب و کار و مشتریان خود دارند.
DevSecOps یکپارچه AppSec را به طور طبیعی در سازمان و در هر مرحله از توسعه نرم افزار ادغام کنید.
آموزش. آموزش کارکنان به طوری که بدانند چگونه با ابزارهای DevSecOps کار کنند بسیار مهم است. استفاده نادرست از ابزار به اندازه نداشتن ابزار بد است.
فناوری دیجیتال محور زندگی مدرن امروزی است. در اطراف ما، فناوری در حال تبدیل عملیات تجاری از انتها به انتها، از کسب و کارهای دیجیتالی به آنهایی است که به سادگی فرآیندهای موجود را به روز می کنند. به گفته گارتنر (www.securitysa.com/*gartner3)، 65 درصد از مدیران گزارش می دهند که در سال 2021 سرعت ابتکارات تجاری دیجیتال خود را تسریع کرده اند. و این چابکی دیجیتال – فناوری ها، فرآیندهای کاری و فعالیت ها – همه به نرم افزار برای اجرا بستگی دارد. . این امر باعث میشود که بتوانیم اطمینان داشته باشیم که نرمافزار ایمن و ایمن است و میتواند خطرات را مدیریت کند.
