Kuruluşlar, yazılım mühendislerinin güvenlik becerilerini mülakat sürecinde değerlendirmedikleri için bilmiyorlar. Uygun bir değerlendirme için gereken süre göz önüne alındığında, bunu bir röportajda yapmaya çalışmak elbette zordur.
Ancak sektörün sola doğru yöneldiği göz önüne alındığında, geliştirici veya kuruluş için güvenliği yalnızca öğretilebilir bir beceri olarak görmek ve aynı süreçlerle ilerlemek yeterince iyi değil. Doğru araçlar sağlandığında, her düzeydeki geliştiriciler, işe başlar başlamaz hızlandırılmış siber güvenlik uzmanlığına ulaşabilirler.
Kod güvenliği ilerlemesi
Öncelikle mühendisler için kod güvenliği ilerlemesine yönelik adımları belirleyelim. Karşılaştırma yapacağımız beş yeterlilik düzeyi şunlardır:
- Riski ve sonuçlarını anlamak – bir güvenlik açığının neden bir sorun olduğunu, sonuçlarını ve şelale etkilerini bilmek
- Güvenlik açıkları olmadan güvenli kod oluşturma – temiz kod yazma ve işleme yeteneği
- Duyarlılaştırma veya farkındalık yaratma yeteneği – kişinin vurgu ve eğitim yoluyla ekibi içinde dikkati artırma yeteneği
- Güvenlik süreçlerini ve stratejisini tanımlama/yönetme – siber güvenlik programlarını departman düzeyinde kavramsallaştırma ve uygulama becerisi
- Koç – organizasyon düzeyinden bireysel çalışana kadar bir güvenlik kültürü aşılama yeteneği.
Bu düzeyler, güvenlik etkinliğinin açık bir ölçüsünü ve geliştiricinin güvenlik bilgisindeki ilerlemesinin somut kanıtını sunar.
Neredeyiz
En büyük ve olgun şirketlerin dışındakilerin tümü, siber güvenlik yeterliliğini kariyer basamaklarına dahil etmiyor. Siber güvenlik genellikle edinilebilecek bir beceri olarak görülüyor ve bu nedenle geliştiricilerin sahip olması gereken bir beceri değil; bu nedenle öncelikle mühendislik ekiplerinin bugün bu ilerlemenin neresinde olduğunu belirlememiz gerekiyor. Aşağıdaki matris, dört kategoriye ayrılmış pozisyonlarla sektörün nerede olduğunu göstermektedir.
Mevcut geliştirici kodu güvenliği ilerlemesi
Eğitim aldıkları aynı ortamlarda kod güvenliğini önemsizleştiren tespit ve iyileştirme araçlarıyla, kıdemsiz mühendislerin bu temel görevi yerine getirme becerisini sürdürebileceklerini ve aynı zamanda yarattıkları güvenlik açıklarının riskleri ve sonuçları hakkında bir anlayışa sahip olabileceklerini düşünmek mantıksız değil. kod taslağı hazırlıyorlar.
Orta düzey mühendisler için, kariyerlerinin başlarında artan güvenlik yeterliliği göz önüne alındığında, artık kıdemli geliştiriciler tarafından incelenmeden önce mühendisleriyle birlikte kod güvenliğinin gerekli kılınmasının onların sorumluluğunda olması beklenebilir.
Kıdemli geliştiriciler artık ekipleri için güvenlik teknolojisini seçme ve dağıtmanın yanı sıra bir güvenlik koçu olarak hareket etme ve departmanları genelinde bu güvenlik kültürünü geliştirme görevini üstlenmekte özgürler.
Teknik liderlerin tüm taktiksel sorumlulukları artık tüm departmanın gözetimini sürdürürken devrediliyor. Ancak olağanüstü bir değişimle artık proaktif bir siber güvenlik duruşu benimseyip ekiplerinin kod güvenliği programlarını en yeni güvenlik açıklarına karşı güçlendirebilirler ve hatta saldırı yüzeyinin geliştiricilerin etkileşimde bulunduğu diğer bölümlerini desteklemeye çalışabilirler.
Nerede olabiliriz
Geliştiriciler için özel olarak geliştirilen siber güvenlik araçlarının nihayet kullanıma sunulduğu göz önüne alındığında, kod güvenliği bilgisinde çok yakında büyüleyici bir değişim göreceğiz.
Geliştirici kodu güvenliğinin olabildiğince ilerlemesi
Eğitim aldıkları aynı ortamlarda kod güvenliğini önemsizleştiren tespit ve iyileştirme araçlarıyla, kıdemsiz mühendislerin bu temel görevi yerine getirme becerisini sürdürebileceklerini ve aynı zamanda yarattıkları güvenlik açıklarının riskleri ve sonuçları hakkında bir anlayışa sahip olabileceklerini düşünmek mantıksız değil. kod taslağı hazırlıyorlar.
Orta düzey mühendisler için, kariyerlerinin başlarında artan güvenlik yeterliliği göz önüne alındığında, artık kıdemli geliştiriciler tarafından incelenmeden önce mühendisleriyle birlikte kod güvenliğinin gerekli kılınmasının onların sorumluluğunda olması beklenebilir.
Kıdemli geliştiriciler artık ekipleri için güvenlik teknolojisini seçme ve dağıtmanın yanı sıra bir güvenlik koçu olarak hareket etme ve departmanları genelinde bu güvenlik kültürünü geliştirme görevini üstlenmekte özgürler.
Teknik liderlerin tüm taktiksel sorumlulukları artık tüm departmanın gözetimini sürdürürken devrediliyor. Ancak olağanüstü bir değişimle artık proaktif bir siber güvenlik duruşu benimseyip ekiplerinin kod güvenliği programlarını en yeni güvenlik açıklarına karşı güçlendirebilirler ve hatta saldırı yüzeyinin geliştiricilerin etkileşimde bulunduğu diğer bölümlerini desteklemeye çalışabilirler.
Bütün bunlar ne anlama geliyor?
Bu çaba için geliştiriciler, bu derinleştirilmiş güvenlik bilgisiyle beceri setlerinde oldukça önemli bir artış elde ediyor; bu, yetenek eksikliği olan siber güvenlik profesyonellerinin işe alınması, artan birikmiş işler ve artan siber güvenlik riskleri ile mevcut durum göz önüne alındığında çok değerli olabilir. sayı ve kapsam.
En önemlisi, üretkenlikten ödün vermeden bunu başarabilirler; güvenlik açıklarını tespit etmek ve düzeltmek, yazım denetiminin yazım hatalarını bulması kadar kolay yapılabilir ve eğitim kısa olabilir ve üzerinde çalıştıkları işe göre uyarlanabilir; bunların tümü entegre geliştirme ortamında (IDE) yapılır. her gün çalışıyorlar. Aslında, bunun gibi araçlar, olay sonrası iyileştirme ihtiyacını neredeyse tamamen ortadan kaldırarak iş akışlarını hızlandıracak ve yazılım geliştirme yaşam döngüsünün (SDLC) daha hızlı akmasına olanak tanıyacak.
Buna ek olarak kuruluşlar, güvenliği SDLC’nin her düzeyine entegre ederek gerçek sola kayma vizyonunu nihayet gerçekleştirebilir ve haklı olarak talep ettikleri güvenlik kültürünü benimseyebilir.
Orta düzey güvenlik uzmanlığı artık geliştirme ekipleri içindeki siber güvenlik bilgisi için minimum temel haline geliyor, siber güvenlik bilgisi tabanını önemli ölçüde artırıyor ve SDLC’yi daha da güvenli hale getiriyor.
Sırada ne var
Bunların herhangi birinin gerçekleşebilmesi için sektörün retoriğe uygun eyleme ihtiyacı var. Siber güvenlik sorumluluğu sola kayıyorsa ve kuruluşlar bir güvenlik kültürü yaratıyorsa, o zaman bu mühendislerin yalnızca hayatta kalmaları için değil aynı zamanda gelişmeleri için de ihtiyaç duydukları araçları, eğitimi ve kaynakları kullanıma sunmaları gerekir ve bunun artırılarak ve geliştirilerek gerçekleşmesi gerekir. geliştiricilerin mevcut iş akışları, iyi süreçleri değişmeye zorlamaz.