Geliştirici güvenlik savunucusu Secure Code Warrior (SCW), müşterilerinin yazılım geliştirici ekiplerinin güvenlik yetkinliğini ölçmek için tasarlanmış, sektörün ilk ölçütü olduğunu iddia ettiği şeyi başlattı.
Başka güvenlik kıyaslama ve puanlama hizmetleri mevcut olmasına rağmen, SCW Güven Puanı, kuruluşların öğrenme programlarının etkisine ilişkin bir temel sağlamak, bunların etkinliğini değerlendirmek ve güvenlik, geliştirici ve mühendislik ekiplerinin daha iyi işbirliği yapmasına ve beceri eğitimini yeniden ayarlamasına olanak sağlamak için özel olarak tasarlanmıştır.
Computer Weekly’ye konuşan SCW baş teknoloji sorumlusu, yöneticisi ve kurucu ortağı Matias Madou, geliştiricileri sürecin başlarında eğitmenin ve eğitmenin, ürettikleri kodun genel güvenliğini artırmanın anahtarı olduğunu savundu.
“10 yıl önce tespit ettiğimiz şey, pek çok organizasyonun bu döngüde geç kaldığıydı; dolayısıyla tüm bu sola kayma hareketi yerine aslında sola başla diyoruz” dedi. “Geliştiriciyi eğitmezseniz, işini bilen geliştiricilerle başlamazsanız hiçbir şeyi düzeltemezsiniz. Sorunun üzerine dilediğiniz araçları kullanabilirsiniz, ancak sorunu çözemezsiniz.
“Orada çok fazla araç var, ancak hiçbir şey gerçekten kişiye, geliştiriciye veya beceri düzeyine odaklanmıyor ve biz de buna odaklanmak istiyoruz.”
SCW, daha hızlı uygulama geliştirme ve yapay zeka yeteneklerinin entegrasyonuna yönelik talebin, geliştirme süreci sırasında daha fazla güvenlik açığının gizlice içeri girme potansiyelini ortaya çıkaracak şekilde bir araya gelmesiyle, böyle bir hizmete olan ihtiyacın daha da acil hale geldiğine inanıyor.
Ayrıca, genellikle açık kaynak yazılım topluluğunu etkileyen ve bazı durumlarda büyük uluslararası siber olaylara yol açan bazı önemli güvenlik arızalarının ardından bu sorunlara ilişkin artan bir farkındalık dalgası da var.
SCW, bu baskıların kuruluşların hâlâ en üst düzeyde performans gösterebilen, güvenlik bilincine sahip bir güvenlik ekibi oluşturmak ve sürdürmek için daha fazlasını yapması gerektiği anlamına geldiğini, dolayısıyla güvenlik programlarının çan eğrisini tanımlamak ve becerileri anlamak için bir kıyaslama oluşturulması gerektiği anlamına geldiğini söyledi. geliştirici ekiplerinin temeli.
Gelecek hafta ABD’de yapılacak olan RSA Konferansında tanıtılacak olan SCW Güven Puanı, 500’den fazla mevcut müşterideki 250.000 öğrenciden alınan 20 milyon veri noktasına dayanmaktadır.
Madou, “Bir yıl önce bir grup veri bilimciden verilerimizi incelemelerini ve iyi bir geliştiricinin neye benzediğini bulmalarını istedik” dedi. “Bir kuruluştaki geliştiricilerin tüm beceri düzeylerini bir araya getirecek bir algoritma oluşturmak için çok zaman harcadılar ve biz buna Güven Puanı diyoruz.
“Artık esasen tüm öğrencilerin beceri düzeylerinin toplamı olan bir kuruluşa Güven Puanı verebiliriz” dedi. “Bu, sıfır ile 1.000 arasında bir sayıdır ve çoğu şirketin sayısı şu anda 300 ile 500 arasındadır.”
Madou, bu puanın kuruluşların geliştiricilerinin güvenli kodu ne kadar iyi yazdıklarını ölçmelerine ve kendilerini çeşitli kıyaslamalarla karşılaştırmalarına olanak sağlayacağını söyledi; hizmetin lansmanında, tüm kullanıcıları karşılaştıran küresel bir kıyaslama ve teknoloji ve finans için iki sektöre özel kıyaslama yer alıyor. hizmet endüstrileri.
Bunun ötesinde SCW, Güven Puanının BT ve güvenlik liderlerinin kuruluşlarında güvenli kodlama çıtasını yükseltmesine ve en iyi performans gösteren geliştiricileri en fazla dikkat gerektiren projelere yönlendirmesine yardımcı olacağını umuyor.
Bireysel geliştiriciler
Bireysel geliştiriciler için de bir kullanım durumu vardır. Madou, “Geliştiricilerin bunu gerçekten benimseyeceğini ve bunun onlara LinkedIn’de övünme hakkı vereceğini umuyoruz” dedi. “Örneğin, ‘Hey, biliyor musun, bu kadar iyiyim’ diyebilirler.
“Eğer bir finans kurumuysanız, güvenlik konusunda yetenekli geliştiricileri işe almak istersiniz, dolayısıyla geliştiricilerin bunu kesinlikle benimseyeceğini umuyoruz” dedi.
Beta müşterileri arasında yapılan testler cesaret verici oldu; bazıları güvenlik açığı hacimlerinde %53’lük bir azalma olduğunu ve kritik olanları düzeltmek için gereken süreyi kısalttığını bildirdi. Madou, Güven Puanının yönetimin dikkatini çektiğine, müşteriler arasındaki etkileşimi teşvik ettiğine ve geliştirici ekiplerinin becerilerini artırmaya ittiğine dair halihazırda pek çok kanıt bulunduğunu söyledi.
Sonuç olarak SCW, Güven Puanının geliştirici topluluğunu endüstri standardına doğru itmeye yardımcı olacağını umuyor.
“Amacımız kesinlikle bu” dedi. “Ve bence bu konuda iyi bir şansımız var. Karşılaştırmalı değerlendirmeye alınan çok sayıda yüksek profilli finans kuruluşumuz ve bazı yüksek profilli teknoloji şirketlerimiz var, dolayısıyla Güven Puanının arkasında ağırlık var.”