Cara Mengamankan Perangkat Lunak di Dunia DevOps

Pandemi COVID-19 dan dampaknya pada dunia telah membuat semakin banyak orang menyadari betapa banyak kegiatan kita sehari-hari bergantung pada perangkat lunak.

Kami semakin bekerja, mendidik diri sendiri, bermain, berkomunikasi dengan orang lain, mengonsumsi hiburan, berbelanja, dan melakukan banyak hal lain di dunia digital, dan kami bergantung pada perangkat lunak dan layanan / aplikasi online untuk mewujudkannya. Perangkat lunak sekarang ada di mana-mana dan tertanam dalam hampir semua yang kita sentuh.

Pandemi ini juga secara signifikan mempercepat upaya transformasi digital perusahaan dan proliferasi perangkat lunak baru, dan telah menekankan dua fakta yang tidak dapat disangkal:

Keamanan perangkat lunak lebih penting daripada sebelumnya
Solusi pengujian aplikasi otomatis yang mendukung alur kerja pengembang adalah satu-satunya cara untuk mencapai keamanan perangkat lunak pada kecepatan dan skala yang kuat

Masalah yang harus dipecahkan saat membidik keamanan perangkat lunak

Ketika kita berbicara tentang keamanan perangkat lunak, kita berbicara tentang secara proaktif melakukan upaya untuk menciptakan perangkat lunak yang hampir tidak dapat ditembus oleh serangan siber. Kami berbicara tentang bekerja dengan tujuan itu dalam pikiran selama setiap fase siklus pengembangan perangkat lunak (SDLC) dan menemukan dan memperbaiki kerentanan keamanan sebelum mereka memiliki peluang menjadi masalah.

Pada tingkat permukaan, kedengarannya seperti tanpa-otak, tetapi ada sejumlah tantangan yang dihadapi organisasi ketika datang untuk mempraktikkan ide dalam bentuk program DevSecOps yang benar.

Banyak pendekatan keamanan perangkat lunak tradisional juga gagal, baik karena kurangnya SDLC dan integrasi alur kerja pengembang, kegagalan untuk mencakup semua tahap SDLC secara holistik, mengabaikan kebutuhan pengembang, atau kurangnya otomatisasi pengujian.

Menanamkan keamanan ke DevOps

Perlahan tapi pasti, DevOps telah menjadi metodologi pengiriman perangkat lunak pilihan bagi banyak organisasi.

Dengan menyelaraskan semua orang / departemen yang terlibat dalam pengembangan dan pengiriman perangkat lunak dan memberdayakan mereka untuk bekerja bersama-sama, organisasi yang memilih budaya DevOps dan mengimplementasikannya dengan baik mampu memberikan perangkat lunak berkualitas tinggi dengan lebih cepat. Dan orang-orang yang memilih untuk menanamkan keamanan ke DevOps (DevSecOps), membuat seluruh proposisi kurang berisiko bagi semua orang yang terlibat, termasuk pelanggan.

Tetapi bagaimana melakukannya agar semua yang terlibat antusias dan puas? Jawabannya adalah: membuat pengujian keamanan intrinsik dengan pengembangan perangkat lunak dan proses pengiriman dengan mengintegrasikannya ke dalam jaringan pipa yang ada, membuatnya otomatis, dan menanamkan pelatihan AppSec dan kesadaran di atas semua operasi pengembang untuk memastikan pendidikan berkelanjutan.

Dengan nya Platform Keamanan Perangkat Lunak, yang menggabungkan pengujian keamanan aplikasi statis (SAST), analisis komposisi perangkat lunak (SCA), pengujian keamanan aplikasi interaktif (IAST) dan kesadaran dan pelatihan pengembang dalam konteks (alias "Pembebanan Kode"), Checkmarx memiliki semua persyaratan yang dicakup.

Bahkan, platform perusahaan baru-baru ini dinamai oleh Gartner sebagai "paling cocok" untuk DevOps, dan perusahaan sebagai 2020 Gartner Magic Quadrant Leader untuk Pengujian Keamanan Aplikasi untuk tahun ketiga berturut-turut.

Bagi mereka, itu tidak mengherankan, karena mereka terus bekerja untuk berada di ujung pendarahan keamanan perangkat lunak dengan terus-menerus berinovasi armada solusi AST mereka.

Matt Rose, Direktur Global untuk Strategi Keamanan Aplikasi Checkmarx, mengatakan bahwa mereka telah melihat banyak perubahan dalam industri ini selama bertahun-tahun, tetapi produk mereka benar-benar dirancang lebih dulu dan cocok dengan “luar biasa baik” dengan proses DevOps modern. .

Tidak satu pun dari fakta yang disebutkan di atas tidak diketahui oleh firma ekuitas swasta Hellman & Friedman, yang, di tengah pandemi COVID-19, menyelesaikan akuisisi Checkmarx senilai $ 1.15 miliar - akuisisi vendor AppSec terbesar hingga saat ini.

Akuisisi ini memperkuat posisi perusahaan di industri sebagai seseorang yang tidak akan pergi, Rose mencatat, dan investasi akan memungkinkan mereka untuk melanjutkan momentum ke depan dan mempersiapkan masa depan dalam hal menyediakan platform pengujian keamanan aplikasi terbaik di dunia.

Keamanan dan otomatisasi yang berfokus pada pengembang

Ada beberapa tambahan terbaru untuk Platform Keamanan Perangkat Lunak Checkmarx yang mengatasi tantangan industri:

Bagaimana mengidentifikasi komponen open source yang rentan dalam aplikasi dan dengan cepat memulihkan kerentanan, dan
Bagaimana menyederhanakan otomatisasi pengujian keamanan aplikasi untuk mengurangi gesekan dan latensi antara tim pengembang dan keamanan.

Yang pertama datang dalam bentuk solusi analisis komposisi perangkat lunak (SCA) berbasis SaaS baru (CxSCA) yang dapat digunakan sebagai bagian dari platform atau secara independen. Menampilkan kemampuan "jalur yang dapat dieksploitasi" yang unik, CxSCA memanfaatkan teknologi analisis sumber terkemuka Checkmarx untuk mengidentifikasi komponen sumber terbuka yang rentan yang berada di jalur pelaksanaan kerentanan, memungkinkan tim dan pengembang AppSec untuk memfokuskan upaya perbaikan mereka pada risiko terbesar. Ini secara dramatis mengurangi waktu yang dihabiskan dari titik deteksi kerentanan hingga triase dan meningkatkan produktivitas pengembang.

Yang terakhir ini dipecahkan oleh kemampuan otomatisasi Checkmarx yang unik melalui modul orkestrasi (aliran cx) untuk platform. Dengan ini, Checkmarx memungkinkan pemindaian otomatis sebelumnya dalam proses manajemen kode dengan mengintegrasikan langsung ke dalam sistem manajemen kode sumber (pikirkan GitHub, GitLab, BitBucket, Azure DevOps), serta menyediakan integrasi luas dengan alat CI / CD terkemuka. Dengan tim pengembang dan AppSec diminta untuk membangun dan menggunakan perangkat lunak - yang aman - lebih cepat dari sebelumnya, kemampuan untuk mengotomatisasi pengujian dalam lingkungan kerja pengembang sangat penting.

“Cara berpikir yang umum adalah orkestrasi CI adalah tempat terbaik untuk mengotomatiskan kemampuan pengujian keamanan aplikasi. Namun, berbagai hambatan implementasi - mulai dari waktu pengaturan yang panjang hingga proses CI yang tidak fleksibel - biasanya menyertai pendekatan ini, "catat Rose.

“Dengan Checkmarx, kami dapat mengotomatiskan pengujian perangkat lunak sebelumnya dengan berfokus pada sistem manajemen kode sumber. Dalam melakukannya, ketika pengembang mendorong kode ke dalam sistem manajemen kode sumber ketika selesai, kami mendengarkan ketika permintaan push atau pull itu dibuat dan kemudian mengotomatiskan pemindaian sepanjang jalan melalui tiket yang dibuat. Pengembang benar-benar mendapat manfaat dari ini karena menyederhanakan otomatisasi AST dalam DevOps, tanpa mengganggu alur kerja mereka. "

Ke depan, Checkmarx terus memajukan penawarannya untuk mengatasi keamanan yang diperlukan untuk tren perangkat lunak dan pengembangan seperti cloud asli, layanan mikro, dan wadah. "DevOps masih berkembang, banyak tooling masih berkembang, dan kemampuan kami akan berkembang bersama mereka," kata Rose.

Mengamankan aplikasi sebelum rilis

Tidak ada keraguan tentang hal itu (dan pelanggan menuntutnya): teknologi pengujian keamanan aplikasi harus otomatis agar efektif di arena pengembangan perangkat lunak modern, dan Checkmarx menetapkan standar. Pelanggan mereka mendukung klaim ini, dengan ulasan tentang Gartner Peer Insights termasuk:

“Produk Checkmarx sangat berharga bagi organisasi kami. Mereka adalah elemen kunci dari strategi dan implementasi AppSec kami. "
"Jika tenaga kerja pengembang perusahaan Anda tidak terbiasa memasukkan standar keamanan ke dalam bangunan mereka, tumpukan alat Checkmarx akan sangat membantu Anda dalam hal mengintegrasikan ke dalam pipa yang ada dan menyediakan pendidikan melalui Codebashing yang dibutuhkan oleh pengembang Anda."

Persyaratan penting lainnya untuk alat pengujian AppSec yang efektif termasuk kemampuan untuk dipasang ke dalam rangkaian alat pengembang, untuk mencakup semua fase SDLC (dari pengkodean melalui check-in dan CI), untuk memberikan umpan balik yang cepat, dan menjadi fleksibel, yaitu untuk memungkinkan untuk berbagai cara menerapkan teknologi berdasarkan cara organisasi mengembangkan perangkat lunak dan menawarkan opsi penempatan yang berbeda.

tanda centang menawarkan semua itu untuk membantu organisasi mencapai tujuan akhir: menandai potensi kerentanan keamanan dan risiko sejak dini, ketika remediasi jauh lebih mudah.

Sumber: https://www.helpnetsecurity.com/2020/06/22/how-to-secure-software-in-a-devops-world/

Kecerdasan Data Generatif

Bagaimana cara mengamankan perangkat lunak di dunia DevOps

Masalah yang harus dipecahkan saat membidik keamanan perangkat lunak

Menanamkan keamanan ke DevOps

Keamanan dan otomatisasi yang berfokus pada pengembang

Mengamankan aplikasi sebelum rilis

Memaksimalkan Keuntungan pada tahun 2024: Pandangan Komprehensif terhadap ValueZone.AI

Menteri Pertahanan Inggris Mengungkap Pasokan Rudal Storm Shadow Italia ke Ukraina

Intelijen Terbaru

Liputan langsung: SpaceX akan meluncurkan 23 satelit Starlink pada penerbangan Falcon 9 dari Cape Canaveral

Tiga Kunci Islanders Memenangkan Game Kelima

Lakers mendapatkan Kemenangan yang Diidamkan Melawan Denver, kini kalah seri 3-1

Falcon 9 meluncurkan satelit navigasi Galileo

NEVS Emily GT yang dirancang oleh mantan insinyur Saab mungkin dibuat di Italia – Autoblog

Penggemar Dogecoin dan Pepecoin Mendukung Token AI Baru yang Diluncurkan Oleh Platform Wahoo Exchange – CryptoInfoNet