Yeni bir yıl başlarken, insanların hem kişisel hem de profesyonel yaşamlarında daha iyi uygulama ve ilkeleri benimseme ve yeni düşünme biçimlerini benimseme fırsatını kullanmaları alışılmadık bir durum değildir.
Yazılım geliştirme ekipleri, özellikle uygulama güvenliği risklerinin artması ve beklentilerin her zamankinden daha yüksek olması nedeniyle (artık geliştiricilerin %53’ünün güvenlikle ilgili tüm sorumluluğu kendi alanlarında üstlenmesi bekleniyor) her zaman ticaretinde ustalaşmak, uygulamalarını geliştirmek ve güvenli uygulamalar ve hizmetler sunmak için çabalar. kuruluşlar).
Yine de, güvenli olmayan kodun hatasından kaynaklanan sürekli ihlallere rağmen, geliştirme ekipleri için güvenli kodlama eğitimi, ABD’nin en iyi kolejlerindeki bilgisayar bilimi programlarında hâlâ neredeyse tamamen yok. Bu “AppSec ikilemi” ile karşı karşıya kalındığında, 2023’ün yazılım geliştirme yaşam döngüsü (SDLC) genelinde yeni, güvenli alışkanlıkların yılı olması hayati önem taşıyor.
Güvenli alışkanlıkların güvenlik eğitimiyle kalıcı hale getirilmesi
Yeni yıl kararları hızla başarısız olabilir. Bazen odaklanma veya taahhüt eksikliği, yetersiz bilgi, eğitim veya uzun süreli davranış değişikliğini sağlayacak desteğin bir ürünü olabilir. SDLC’dekiler, ihtiyaç duydukları derinlemesine uygulama güvenliği anlayışına sahip olmayabilirler ve koddaki kusurların ürünü, işi ve müşteriyi nasıl etkileyeceğini ve kusuru düzeltmek için ne yapılması gerektiğini tam olarak bilemeyebilirler.
Geliştiriciler ve güvenli kodun sunulmasını destekleyen herkes için daha güvenli alışkanlıklar sağlamak için eğitim ve önce güvenlik zihniyeti öncelik haline gelmelidir. Farkındalık iyi ve iyidir, ancak eski ve yeni kod güvenlik açıklarını çözmek için gereken temel güvenlik ilkelerinin nasıl uygulanacağına dair derin bilgi ve anlayış edinebilmelidirler.
Örnek olarak enjeksiyon kusurlarını ele alalım: Bu güvenlik açıkları kategorisi, son on yıldır OWASP İlk 10 listesinde yer alıyor ve en kritik üç web uygulama kusurundan biri olmaya devam ediyor. Enjeksiyon güvenlik açıkları da hafifletilmesi en kolay olanlardan bazılarıdır – geliştiricileri bu sorunun nasıl çözüleceği konusunda eğitmek 10 dakika kadar kısa bir eğitim alabilir. Ancak, kodlarında SQLi güvenlik açıkları olasılığını azaltmak isteyen geliştiriciler, öncelikle güvenlik açığının temel ilkeleri ve benzer kusurların nasıl önleneceği konusunda eğitim almazlarsa, uzun süreli bir güvenli alışkanlık edinemezler. Eğitim, değişimi başlatabilir ve uygulama güvenliğini iyileştirebilir.
Elbette SQLi eğitimi herkesi ilgilendirmeyecektir. SDLC’deki her rolün, güvenli kodlamayı en iyi şekilde desteklemek için farklı güvenli alışkanlıkları benimsemesi gerekecektir.
Geliştirme liderleri
Kendileri kod yazmıyor olsalar da, geliştirme liderlerinin daha az güvenlik açığı olan uygulamalar geliştirmek için daha hesap verebilir olmaları gerekir. Bu profesyoneller için güvenli bir alışkanlık, güvenliği bir “cankurtaran sandalı özelliği” (yani pazarlık konusu olmayan bir öncelik) olarak görmek olabilir; bu, kodda güvenlik açıkları varsa bir uygulamanın gönderilmeyeceği anlamına gelir.
Ürün ve proje yöneticileri
Kuruluşlar genellikle güvenlik siloları ve ekipler arasında zayıf işbirliği ile karşı karşıya kalır. Ürün ve proje yöneticileri, gereksinimlerin ayrıntılı olduğundan emin olmak ve herhangi bir yeni uygulama veya hizmette güvenliğin bir öncelik olarak görülmesini sağlamak için geliştiricilerle daha proaktif bir şekilde çalışmalıdır. Örneğin, üretkenliği artırmak için tehdit modelleme tartışmaları tasarım sürecinin başlarında yapılmalıdır.
Yazılım ve kullanıcı deneyimi (UX) mühendisleri
Düzenli kod incelemeleri, kod geliştirenler için zaten bir alışkanlıktır. Güvenlik kavramlarının nerede uygulandığını daha iyi anlamak isteyen geliştiriciler ve UX uzmanları, güvenilir iş arkadaşlarına başvurabilir ve kod incelemelerinin kendi güvenlik değerlendirmelerini de içermesini isteyebilir. Genel incelemeleri ve güvenlik incelemelerini “alışkanlık biriktirerek”, bu yeni güvenli alışkanlıkların uzun süreli olma olasılığı daha yüksektir.
Kalite güvencesi (QA) yöneticileri
KG yöneticilerinin, “pazara giriş hızı” stratejilerine bakarken güvenliği işlevsellik ile aynı seviyede görmeleri gerekir. Test otomasyonunun yalnızca kaliteyi değil, aynı zamanda bir uygulamanın güvenliğini de doğrulamasını sağlamak, bu nedenle, yayınlandıktan sonra mevcut olan güvenlik açıklarının sayısını azaltmak için çok önemli bir güvenli alışkanlık olacaktır.
Tüm bu alışkanlıklar, uygulamaların güvenliği üzerinde önemli bir etkiye sahip olabilecek nispeten küçük, ulaşılabilir değişimlerdir. Yine de, güvenliğin önemi ve bunun nasıl sağlanabileceği konusunda ısrarcı ve programatik bir eğitim olmadan, bu alışkanlıklar Yeni Yıl kararlarının çoğunun kaderini paylaşacak ve zamanla yok olacaktır.