Yazılım endüstrisindeki insanlara “DevSecOps” dediğinizde akıllarına gelen görüntü muhtemelen ne yaptıklarına bağlı olacaktır.
Uygulama güvenliği ekiplerinde olanlar için olası görüntü, güvenliğin kolaylaştırıcı olduğu, yani yapması gerekeni yapan (kaliteli) ve bilgisayar korsanlarının istediğini yapmak için kullanabileceği güvenlik açıklarından arınmış bir yazılım oluşturmak için geliştirme ve operasyonların birleştirilmesidir. Olumsuz (güvenlik) yapılması gerekiyordu.
Ancak geliştirme ve operasyon ekipleri için güvenlik sıklıkla bir engel olarak görülüyor ve bu da onların en önemli öncelikleri olan hıza zarar veren sürtüşmeler yaratıyor. Olduğu gibi, güvenliğe veya hıza sahip olabilirsiniz, ancak her ikisine birden sahip olamazsınız.
Bu yeni bir çatışma değil. Yıllardır siber güvenlik konferanslarının ana konularından biri, ortak bir hedefe ulaşmak için bu ekiplerin birlikte iyi bir şekilde oynamasına nasıl yardımcı olunacağı olmuştur: güvenilebilecek kaliteli bir yazılım ve aynı zamanda rekabeti yenecek şekilde zamanında pazara sunulması.
Bu çabalar iyileştirmelere yol açsa da gerçek şu ki gerilim devam ediyor ve hız hâlâ kral. 2020 “Olgunlukta Bina Güvenliği Modeli”” Synopsys’in (BSIMM) raporu, geliştiricilerin şu mesajını belgeledi: “Eğer bizi yavaşlatmazsanız, değer akışlarımızda güvenliğin olmasını isteriz.”
Güvenlik satıcıları, manuel testlerden çok daha hızlı olan otomatik araçlarla yanıt verdi, ancak eskiden hızlı görünen şeyler, sürekli teslimat hatları gibi teknolojiler sayesinde artık dayanılmaz derecede yavaş görülüyor. Kod yazmak için üretken yapay zeka araçlarının kullanılmasıyla hızın yeniden artması bekleniyor.
Synopsys Yazılım Bütünlüğü Grubunun genel müdürü Jason Schmitt’in belirttiği gibi, “bu konuda nerede olduğumuza dair sürekli bir tartışma var” [security vs. speed] süreklilik.”
Ancak bunun güvenliğin veya hızın kaybedildiği sıfır toplamlı bir oyun olması gerekmediğini de söyleyen kendisi, hız ile güvenlik arasındaki gerilimin “önemli ve olumlu iki değişikliğe” yol açtığını kaydetti.
Birincisi, hıza yönelik baskının “güvenlik sağlayıcısı ortamında yeniliği zorlamak, güvenlikten taviz vermeyen ve aynı zamanda modern gelişimin ihtiyaçlarını karşılayan otomasyon çıtasını yükseltmek” olmasıdır.
Diğerinin ise, günümüzün gelişme hızında etkili güvenliğin araçlardan veya zorunluluklardan daha fazlasını gerektirdiğine dair farkındalığın artması olduğunu söyledi; bu, “geliştiricilerle bulundukları yerde buluşmayı, yapmaya çalıştıkları her şeyin başlangıcından itibaren onlarla çok anlamlı bir şekilde çalışmayı” gerektirir. .”
Bunun, DevSecOps dünyasında DevOps ekiplerinin önceliklerini dikkate alarak, onları yavaşlatmadan ihtiyaç duydukları güvenlik bilgilerini sağlayan otomasyon yoluyla gerçekleştiğini söyledi. “Fakat değişimin gerçekten gerçekleşmesini sağlayan kültürel bir değişimdir” dedi.
Bu kültürel değişimin bir parçası da Geliştirme ve Operasyon ekiplerinin güvenliğe daha fazla dahil olmasını sağlamaktır. BSIMM raporu, yıllardır olgun yazılım güvenliği girişimlerine sahip kuruluşların Geliştirme ve Operasyon ekiplerinden gönüllü “güvenlik şampiyonlarını” işe aldığını ve eğittiğini belirtiyor.
Bu, sorumluluğun değişmesi anlamına gelmiyor; güvenlik ekibi hâlâ güvenliğin sahibidir ve geliştiriciler için temel teşvik hâlâ hızdır. Ancak bu işbirliği hem güvenliğin hem de hızın elde edilmesine yardımcı olur.
Yoldaki bazı tümsekler devam ediyor. Çatışmayı hafifletmeyi amaçlayan trendlerden biri, hıza, basitliğe ve kullanım kolaylığına öncelik vermek üzere tasarlanmış “hafif” güvenlik testi özellikleri ekleyen geliştirme platformlarındaki artıştır.
Bu karşı konulamaz derecede cazip geliyor ve hafif güvenlik araçlarında doğası gereği yanlış olan hiçbir şey yok. Ancak size yanlış bir kapsamlı güvenlik duygusu vermelerine izin vermemek önemlidir. Çünkü bu araçların yetenekleri de hafiftir; nispeten küçük ve bulunması kolay güvenlik açıklarını yakalarlar, ancak daha karmaşık ve tehlikeli kusurları tespit etmede o kadar iyi değildirler.
“Karmaşık bir bellek taşması, siteler arası komut dosyası oluşturma veya SQL enjeksiyonu bulmak için [issue] Schmitt, 10 milyon satırlık koddan oluşan büyük bir uygulamanın yedi mimari katmanda hızlı ve kolay bir taramayla mümkün olmadığını söyledi.
Bu, iyi bir yazılım geliştirmenin hafif ve ağır hizmet testlerinin bir karışımını gerektirdiği anlamına gelir. Güvenlik endüstrisinin önündeki zorluk, bu daha karmaşık araçları en az basit olanlar kadar hızlı hale getirmektir.
Schmitt, “Gerçek inovasyonun gerçekleşmesi gereken yer burasıdır ve oluyor” dedi. “Zor şeyleri bulmanız ama yine de hız gereksinimlerini karşılamanız gerekiyor.”
Bu bir ekip çalışması gerektirir; Geliştirme, Güvenlik ve Operasyon. Ancak doğru yapıldığında hız veya güvenlik arasında seçim yapmanıza gerek kalmaz. Her ikisi de mümkündür ve gereklidir.
Synopsys’in DevSecOps kodunu kırmanıza nasıl yardımcı olabileceği hakkında daha fazla bilgi için ziyaret edin www.synopsys.com/software.