Zephyrnet Logosu

“Sola Kaydır” Beklediğiniz Gibi Değil  

Tarih:

Odadaki fili ele alalım - "sola kaydırma", yazılım güvenliğimiz üzerinde çoğumuzun beklediği gibi bir etki yaratmadı. Pek çok değeri olmasına ve güvenliği vazgeçilmez bir şekilde etkilemesine rağmen, "sola kaydırmanın" uygulama güvenliği sorunlarını çözmek için kapsamlı bir çözüm yerine daha geniş bir yönetim stratejisinde bir taktik olarak görülmesi gerektiğini savunuyorum. Tıpkı yazılım geliştirmenin birçok katmanı olan çok karmaşık bir süreç olması gibi, "sola kaydırma" da basit, doğrusal bir çaba olarak görülmemelidir. Bu blog yazısı, "sola kaymanın" başarısını, endişelerini ve potansiyelini ve onu biraz farklı uygulayarak süreci nasıl "yeniden başlatabileceğimizi" inceleyecek.   

Zirkonyum Tedavisi "Sola kay"  

"Sola kaydır" nispeten yeni bir güvenlik yaklaşımı bu, uygulama güvenliği süreçlerinin en erken, oluşturma aşaması olan geliştirme döngüsünün "sol" tarafında başlatılmasını gerektirir. Yazılım geliştirme yaşam döngüsünü ve öğelerini tanımlamanın farklı yolları vardır, ancak bunu parçalamanın genel olarak kabul edilen bir yolu bir planla başlar, ardından kodlama, oluşturma, test etme, yayınlama, dağıtma, çalıştırma ve son olarak izlemeye geçer. Bu sürecin en sol tarafı “yaratma” aşaması, en sağ tarafı ise nesnelerin fiilen kurulduğu ve kullanıldığı “işlem” alanıdır. "Sola kaydır", geliştiriciler tarafından üzerinde çalışılacak eylemleri en sol tarafa taşımanın farklı yollarını tanımlar.  

"Sola kaydırılabilen" süreçler, genellikle ilk "sola kaydırma" çabası olarak uygulanan testi içerir. Test, kuruluşların sorunları en erken aşamalardan, yani planladıkları, oluşturdukları ve kodladıkları aşamalardan itibaren çözmelerine yardımcı olur. Sorunu en erken aşamada ele almak, çalıştırma aşamasına geldiğinizde daha az sorunla karşılaşmanızı, bunların düzeltilmesinin daha kolay ve daha az maliyetli olmasını önemli ölçüde artırır.   

Ne yapar "Sola kay" Doğru mu?   

Sorunları en erken aşamalardan itibaren düzeltmek, hatalardan kaçınma, yazılımın üretime geçmesini sağlama ve herhangi bir soruna kodu yazan ve çalıştırmaktan sorumlu kişiler tarafından hızlı ve doğru düzeltmeler uygulama şansınızı artırır. Başarılı bir “sola kaydırma” örneği konteynerleflme ve ne zaman alakalı hale gelen diğer ambalaj türleri Kubernetes ortaya çıktı. "Sola kaydır", bir yazılım ürünü düzgün bir şekilde paketlendiğinde, onu dağıtma, çalıştırma ve izleme adımlarını çok daha kolay hale getirebileceğini anlamamızı sağladı. Konteynırlaştırma ve yazılım ürünü paketleme ile birleştirilmiş otomasyon, tüm dağıtım operasyonunu çok etkili bir şekilde düzenlememize olanak tanır. Diğer bir "sola kaydırma" başarı öyküsü, ilişkilendirmedir - "sola kaydırma", kod sahipleri hakkında konuşmayı başlatmamızı ve geliştirmemizi sağladı, mühendislik organizasyonunun kodun arkasındaki geliştiricileri belirlemesine ve geliştiricilerin kendileri için süreçleri daha akıcı hale getirmesine olanak sağladı. Geliştiriciler iyi kod yazmak istiyor ve "sola kaydır", güvenlikle ilgili bu konuşmayı düşmanca davranmadan ön plana çıkardı.   

"Sola kay" Güvenlik Testi Zorlukları   

Halihazırda tam olarak uyarlanmış olmasına rağmen, güvenlik testinin değişen düzeylerde etkisi olmuştur. Tek başına test etme, tam bir test paketine sahip olmanın tüm avantajlarından yararlanmayabilecek bazı kuruluşlar için engel teşkil edebilecek düzeyde bir beceri veya mühendislik olgunluğu gerektirir. Aslında, geliştirici tabanlı testlere tek gerçek kaynağı olarak güvenilmediğinden, çoğu mühendislik kuruluşunda hala bir hafifletme kontrol işlevi vardır. Kuruluşlar, test araçlarına meydan okumak ve sonuçların nihai kalite güvencesi ve kontrol işlevi olarak hareket etmek için bir KG işlevine ihtiyaç duyduklarını anlıyor.    

"Sola kay" Güvenlik İyileştirme Zorlukları   

Güvenlik araçları, anlamlandırmanız, önceliklendirmeniz ve eyleme geçmeniz zor olan birçok uyarı sağlar. Geliştiricilerin neyi önceliklendirmesi ve hafifletmeye çalışması gerekiyor? Geliştiricilerin, güvenlik testinin onlara ne söylediğine yanıt vermeden yayınlamasına ve mühendislik sürecinde ilerlemesine yardımcı olmuyor. Pek çok test, gerçek engelleyicilerden ziyade "sentetik" engelleyicilere benzer; geliştiriciler iş akışında bu bloklara meydan okuyabilir ve bunları düzeltmekten kaçınmak için bir geçici çözüm bulacaktır.   

Hafifletmek için kritik olarak sınıflandırılan uyarılar için güvenlik, geliştiriciler için bu sorunları öncelik sırasına koyma kapasitesine sahip değildir. Öte yandan, geliştiriciler öncelik sırasını kendileri yapacak bilgiden yoksun olabilir. Geliştiricilerin güvenlik uzmanı olmadığı ve kodun arkasındaki anlamı ve bağlamı anlamaları beklenemez. Önceliklendirmeyi bağımsız olarak yapamamanın bu kombinasyonu, çok sayıda uyarıyla birleştiğinde, geliştiriciler ve güvenlik ekipleri arasında sürtüşme yaratır ve bu test araçlarına karşı geri itme ve sürecin kendisi büyüdükçe işbirliğini zorlaştırır.  

"Sola Kaydır" ile Kod Güvenliğini Uygulamaya Yönelik Eyleme Geçirilebilir İpuçları

Azaltma yolculuğunda yardımcı olabilecek ve daha sağlıklı bir kod güvenliği kültürü oluşturabilecek bazı temel ilkeleri bir araya getirdim. Güvenlik açıklarının düzeltilmesi gerektiği konusunda hepimiz hemfikir olabiliriz, ancak "sola kaydır" bunun bir süreç olduğunu ve bir gecede olabilecek bir şey olmadığını kabul edemiyor. Mühendislerden, ortaya çıkan her sorunu anında çözmeleri beklenmemeli veya istenmemelidir. Bebek adımlarıyla başlarsak, sola kaydırmanın daha kolay olduğu bazı şeyler olduğunu anlarız. Bu, geliştiricilerin yazdıkları kodlardan kendilerini sorumlu hissettikleri daha sağlıklı bir kültür geliştirmenin yanı sıra sorun azaltmayı sola kaydırmaya yönelik gerçek bir yolculukta ilk ve temel adım olacaktır.   

İlk temel önerim, gerçek bir değişimin ancak Ar-Ge buna karar verdiğinde gerçekleşebileceğini kabul etmektir. Düzeltmeyi yapacak olan güvenlik değil, bu nedenle geliştiricileri bunu yapmaya ikna etmek için onlara her sorunun aciliyetini göstermek veya kibarca sormak için iş bağlamı vermeliyiz. Ar-Ge teşkilatının kendi iradesiyle güvenlik faaliyetlerini sola çekmeye karar verdiği bir noktaya gelmemiz gerekiyor. Güvenlik profesyonelleri olarak diğer ekiplere değer katan çalışmalara odaklanmalı ve Ar-Ge çalışmalarına katkı sağlayacak bir gündem sunmalıyız. Bu içeride oynamak anlamına gelir ve bazı Asya oyun alanı ve başka araçlar veya yeni portallar getirmemek ve bunları kullanmalarını talep etmemek.   

Kuruluş ölçeklendikçe, risk direnci aşağıdan yukarıya ve aynı zamanda yukarıdan aşağıya yönetimle birlikte inşa edilir. Yöneticilerin ekiplerine güvenlik sorunlarını çözmeleri için yeterli kaynağı sağladığından ve geliştiricilerin sorunlu yapıtlar oluşturmakla ilgilenmediğinden emin olun.   

Sürdürülebilir ve ölçeklenebilir bir şekilde "sola kaymaya" başlamak için kuruluşlar, atıfın benimsenmesini en başından itibaren zorlamalıdır. Bu, önceliklendirmeyi destekleyebilmemiz ve bir uyarı için gereken çabayı geliştirebilmemiz için her yapının ne olduğunu, nelerden oluştuğunu ve iş işlevinin ne olduğunu bilmek anlamına gelir. Kritik bir uyarı varsa, bununla ilgilenilip ilgilenilmeyeceğini tam olarak biliyoruz. Ödevinizi düzgün bir şekilde yaptığınızda ve her yapıya bir güvenlik ve düzeltme ilkesinin atandığı bir varlık envanterine sahip olduğunuzda, kuruluşlar bitmeyen tartışmaları ve öncelik sırasına harcanan aşırı zamanı ortadan kaldırabilir. "Sola kaydırma", yalnızca geliştiriciler güvenlik yaşam döngülerini iş akışlarına gerçekten dahil ettiklerinde olması amaçlanan şeyi gerçekleştirebilir. Güvenlik uzmanları olarak, bunu yapmalarına yardımcı olmamız gerekiyor. 

spot_img

En Son İstihbarat

spot_img