ساخت یک فرآیند امنیتی برنامه جامع – شماره 8 2022 – Altron Arrow

توسط بوریس سیپوت، مهندس ارشد امنیت، گروه یکپارچگی نرم افزار Synopsys.

سازمان هایی که از نرم افزار استفاده می کنند در یک وضعیت تهدید دائمی زندگی می کنند. برای نرم‌افزارهای متن‌باز، بین زمان معرفی آسیب‌پذیری و کشف آن می‌تواند روزها، ماه‌ها یا سال‌ها باشد. اما هنگامی که این نقض شناخته شود، آسیب پذیر می شود، زیرا هکرها همیشه در جستجو هستند و آماده حمله هستند. برای نرم‌افزار اختصاصی، معمولاً فقط زمانی درباره آسیب‌پذیری یاد می‌گیرید که آن آسیب‌پذیری مورد سوء استفاده قرار گیرد.

بوریس سیپوت.

فرهنگ AppSec واقعی فرهنگی است که در آن افراد، فرآیندها و فناوری‌ها برای به حداقل رساندن ریسک و متحول کردن کسب‌وکار در یک راستا قرار می‌گیرند. این فرهنگی است که توسط کل سازمان مشترک است، نه فقط در تیم های فناوری اطلاعات یا توسعه. فرهنگ جامع AppSec شامل قهرمانان امنیتی، معیارها، برنامه ریزی، چارچوب بلوغ DevSecOps (www.securitysa.com/*arrow2)، DevSecOps یکپارچه و آموزش است.

موفقیت یک برنامه امنیتی بدون ابزار مناسب امکان پذیر نیست. در زمان مناسب و در سطح مناسب تست کنید تا بتوانید نرم افزار واقعا ایمن بسازید. ابزارها می توانند کمبودهای امنیتی را نشان دهند و به شما در مورد نحوه مدیریت کارآمد آنها اطلاع دهند. اما ابزار به تنهایی کافی نیست. یک راه حل یکپارچه دیدگاه را متمرکز می کند و بازخورد ابزارهای امنیتی یک سازمان را یکپارچه می کند و تیم توسعه را قادر می سازد تا بلیط ها را اولویت بندی کند، اصلاحات را پیگیری کند و بینش های عملی ارائه دهد.

بلوغ DevSecOps. کلید یک فرآیند جامع و قوی AppSec ایجاد یک چارچوب بلوغ DevSecOps است. این به معنای تعریف حاکمیت و فرآیندها، ایجاد یک طراحی و معماری ایمن و عملکرد همه فرآیندها در این چارچوب است. سپس می توانید شناسایی کنید که چه ابزارهایی در هر مرحله از DevSecOps مستقر شده اند و آن را با برنامه مقایسه کنید.

برای ایجاد (یا به روز رسانی) یک طرح امنیتی، یک سازمان باید برای اهداف اجماع ایجاد کند، وضعیت فعلی SDLC ایمن را تعیین کند، یک وضعیت هدف را شناسایی کند، و بودجه و مسیر رو به جلو را تعریف کند.

امنیت برنامه

یک رویکرد جامع شامل درک تهدیدها و خطرات داخلی و خارجی، ایجاد یک پایه قوی برای فرآیند AppSec شما و به حداکثر رساندن ابزار AppSec شما (www.securitysa.com/*arrow) است. امنیت برنامه صرفاً در مورد استقرار ابزارها و اجرای آزمایش ها نیست. این در مورد همسویی افراد، فرآیند و فناوری برای رسیدگی به خطرات امنیتی برنامه به طور کلی است (www.securitysa.com/*arrow1).

معیارهای. اگر ندانید در حال حاضر در کجا هستید، نمی دانید برای آینده چه چیزی باید توسعه یا سرمایه گذاری کنید. یک گام کلیدی ایجاد یک ابزار اندازه گیری برای درک چگونگی عملکرد فرآیندهای موجود و اینکه کجا می توانند از بهبود، یا منابع یا بودجه اضافی بهره مند شوند، است.


منبع: https://www.securitysa.com/18139R

برای اطلاعات بیشتر با Altron Arrow، Nkateko Malindi تماس بگیرید، [email protected]



وام)

ایجاد یک فرآیند امنیتی برنامه جامع نگر

شماره 8 2022 امنیت سایبری

ما اغلب روی فناوری و ابزارها تمرکز می کنیم و فرآیندها را فراموش می کنیم، در حالی که در واقع ابزارهایی برای تکمیل فرآیندها وجود دارند. اگر فقط روی یک نقطه از چرخه عمر توسعه نرم افزار (SDLC) تمرکز کنید، نمایه امنیتی شما ناقص است. در نظر گرفتن کل چرخه حیات ضروری است. امنیت را در هر مرحله از فرآیند توسعه، از جمله کدگذاری، ساخت، آزمایش، انتشار، استقرار، نظارت و غیره قرار دهید.

برنامه ریزی. ایجاد یک برنامه امنیتی قابل اجرا بر اساس سیاست های سازمان شما بسیار مهم است. یک طرح امنیتی یک سند زنده است و با استفاده از آن، با کشف اطلاعات بیشتر در مورد افراد، فرآیندها و فن‌آوری‌های درگیر، و با کشف کمبودها، تکامل می‌یابد و بالغ می‌شود. هر طرحی تا زمانی که کار کند خوب است و سپس می توانید طرح جدیدی ایجاد کنید.

قهرمانان امنیت قهرمانان امنیت، کارکنانی هستند که دارای تفکر امنیتی در تیم فناوری اطلاعات یا توسعه هستند، یا کسانی که در زمینه امنیت تخصص دارند و می‌خواهند با کمک به اجرای آن فرآیند در سراسر SDLC، مالکیت فرآیند امنیتی برنامه را در دست بگیرند. قهرمانان همچنین تیم‌های توسعه را در مورد بهترین شیوه‌های امنیتی آموزش می‌دهند و از آسیب‌پذیری‌ها و تهدیدات فعلی برای نرم‌افزاری که سازمان شما استفاده می‌کند مطلع می‌شوند و آسیب‌پذیری‌ها و مسائل را در تیم‌ها به صورت داخلی دنبال می‌کنند.

DevSecOps هوشمند و سیاست محور

هر کسب و کار مدرن یک تجارت نرم افزاری است، بنابراین نرم افزار یک ریسک بزرگ تجاری است. و از آنجایی که سازمان‌ها به دنبال راه‌هایی برای کاهش آسیب‌پذیری خود در برابر نقض‌های امنیتی هستند، بسیاری از آنها بار را بر دوش تیم‌های توسعه نرم‌افزار می‌اندازند تا همه مسائل امنیتی را حل کنند. یا آنها به سادگی نرم افزار امنیتی می خرند و به آن برای مقابله با ریسک اعتماد می کنند. اما در واقع، یک رویکرد جامع به امنیت برنامه (AppSec) رویکرد بهتری برای ایمن سازی سازمان و نرم افزار آن است.

پیچیدگی بیشتر، چرخه‌های توسعه کوتاه‌تر، و به هم پیوستگی و ماهیت همیشه فعال نرم‌افزار، به هکرها یک سطح فناوری دائماً در دسترس برای تلاش برای بهره‌برداری می‌دهد. ایمن سازی آن نرم افزار به چیزی بیش از ابزار نیاز دارد – نیازمند اولویت بندی امنیت و مدیریت فعالانه آن است. این بدان معناست که افراد، فرآیندها و فناوری را برای رسیدگی به خطرات امنیتی بر اساس سیاست‌های منحصربه‌فرد و اهداف تجاری سازمان هماهنگ کنید.

ساختن فرهنگ AppSec

روش‌های امنیتی سنتی سرعت DevOps (www.securitysa.com/*arrow3) را کاهش می‌دهند و ابزارهای بزرگ آزمایش AppSec می‌توانند خطوط لوله ساخت، آزمایش و انتشار را شلوغ کنند. ابزارهای امنیتی بیشتر به معنای آزمایش بیشتر است، به این معنی که یافته‌های بیشتری باید مرتبط، حذف و اولویت بندی شوند تا اطمینان حاصل شود که توسعه‌دهندگان با داده‌ها غرق نشده‌اند و نمی‌توانند روی مسائل امنیتی که مهم‌تر هستند تمرکز کنند.

ساخت یک فرآیند AppSec جامع به چه معناست؟ بخش‌ها و بازارهای صنعت همگی متفاوت هستند و هر کدام نیازمندی‌های منحصر به فردی دارند. اما آنها نیاز به توسعه نرم افزار ایمن و ایمن، رعایت استانداردهای امنیتی و واکنش به تهدیدات را برای حفظ امنیت کسب و کار و مشتریان خود دارند.

DevSecOps یکپارچه AppSec را به طور طبیعی در سازمان و در هر مرحله از توسعه نرم افزار ادغام کنید.

آموزش. آموزش کارکنان به طوری که بدانند چگونه با ابزارهای DevSecOps کار کنند بسیار مهم است. استفاده نادرست از ابزار به اندازه نداشتن ابزار بد است.

فناوری دیجیتال محور زندگی مدرن امروزی است. در اطراف ما، فناوری در حال تبدیل عملیات تجاری از انتها به انتها، از کسب و کارهای دیجیتالی به آنهایی است که به سادگی فرآیندهای موجود را به روز می کنند. به گفته گارتنر (www.securitysa.com/*gartner3)، 65 درصد از مدیران گزارش می دهند که در سال 2021 سرعت ابتکارات تجاری دیجیتال خود را تسریع کرده اند. و این چابکی دیجیتال – فناوری ها، فرآیندهای کاری و فعالیت ها – همه به نرم افزار برای اجرا بستگی دارد. . این امر باعث می‌شود که بتوانیم اطمینان داشته باشیم که نرم‌افزار ایمن و ایمن است و می‌تواند خطرات را مدیریت کند.