DevSecOps’a giden yol her zaman en sorunsuz yol değildir
İsviçre, Zürih Üniversitesi’ndeki araştırmacılar tarafından yapılan bir araştırmaya göre, yazılım şirketlerinde güvenli kodlama uygulamaları konusunda artan farkındalıklara rağmen, geliştiriciler kod incelemeleri sırasında güvenlik sorunlarını keşfetmek ve bildirmek için mücadele ediyor.
Kuruluşlar, kod incelemesi gibi yazılım geliştirme döngüsünün önceki aşamalarına “sola kayıyor”. Ancak araştırmacılar, güvenli kodlamayı desteklemek ve geliştiricilerini güvenlik eğitimi konusunda eğitmek için yeterince çalışmadıklarını tespit ediyor.
Güvenlik ‘öncelik değil’
Zürih Üniversitesi’nde doçent ve çalışmanın ortak yazarı Alberto Bacchelli, “Yaptığımız önceki çalışmalar, geliştiricilerin, onları tespit edecek bilgiye sahip olsalar bile, kod incelemesi sırasında genellikle güvenlik açıklarını kaçırdığına dair kanıtlar sağladı.” Dedi. Günlük Swig.
“Bu çalışmalar, geliştiricilerin güvenliğe yönelik zihinsel tutumunun, bu davranışın arkasında olası bir neden olabileceğini vurguladı.”
KAÇIRMAYIN Eski CISA direktörü Chris Krebs, kuruluşları Tayvan gerilimleri arasında altyapıyı güçlendirmeye çağırıyor
Çalışma, geliştiricilerin kod incelemeleri sırasında güvenliği nasıl algıladıklarına odaklanıyor. Araştırmacılar 10 geliştiriciyle röportaj yaptı ve 182 kişiyle anket yaptı.
Elde ettikleri bulgular, çoğu katılımcının güvenliğe duyarlı yazılım sistemleri geliştirmesine rağmen, güvenliğin hala “inceleme sırasında bir öncelik olmadığını” ve “bildirilenden daha az sıklıkla” değerlendirilebileceğini gösteriyor.
Ayrıca araştırmacılar, “geliştiriciler, geliştirdikleri uygulamanın güvenlik dinamiği hakkındaki varsayımları nedeniyle incelemeler sırasında güvenlik yönlerini göz ardı edebilir” dedi.
Bacchelli, “Bir yandan geliştiriciler, kod incelemesi sırasında yazılım güvenliğini sağlamanın yüksek öneminin farkındalar,” dedi. “Öte yandan, uygun güvenlik eğitimi ve bilgisi eksikliği nedeniyle bunu yapmakta zorlanıyorlar.”
Şirketler daha aktif rol oynamalı
Çalışma ayrıca, kod incelemesi sırasında güvenliği iyileştirmedeki organizasyonel eksiklikleri de vurgulamaktadır.
Bacchelli, “Katılımcılarımızın büyük çoğunluğu şirketlerin güvenli uygulamaları desteklemek için daha fazlasını yapması gerektiğini düşünüyor” dedi.
Örneğin, geliştiricilerin güvenli kod incelemeleri gerçekleştirmeleri onaylanmaz. Ayrıca, şirketler güvenlik eğitimi vermez ve geliştiricilerin kendi başlarına güvenlik becerileri edinmelerini bekler.
DevSecOps ile ilgili en son haberleri okuyun
Bachelli, “Prensip olarak, kuruluşlar güvenlik bilincini artırmayı ve farklı bir tutum oluşturmak için geliştirme süreçlerine daha katı yazılım güvenlik politikaları eklemeyi düşünebilirler.” Dedi.
Araştırmacıların yaptığı önerilerden bazıları, uygulamalarda güvenliği sağlayan ve güvenlik eğitimi veren ve öğrenmeye zaman tanıyan geliştiriciler için açık ödül sistemleri içeriyor.
Araştırmacılar ayrıca, farklı geliştiriciler ve ekipler arasında sorumlulukların açıkça belirtilmesi gerektiğini vurguluyor.
Bachelli, “Geliştiricilerin dikkatli olması ve güvenliğin başka bir uygulamanın bileşeninin veya ekibinin sorumluluğunda olduğuna inanmak gibi güvenlik varsayımları hakkında farkındalık yaratması gerekiyor” dedi.
Kod incelemelerinin sınırları
Synopsys Software Integrity Group kıdemli yazılım mühendisliği müdürü Allon Mureinik, “Kod incelemesi, güvenlik açıklarını tespit etmek için tek başına yetersiz bir çözüm” dedi. Günlük Swig.
Mureinik, çalışmanın bulgularını doğrularken, kod gözden geçirenlerin genellikle güvenlik uzmanlığına değil, verilen programlama dili veya alanıyla ilgili bilgi ve deneyimlerine göre seçildiğine de dikkat çekiyor.
Mereinik, “Stresli durumlarda (örneğin, teknoloji endüstrisinde yaygın olan son teslim tarihlerine yakın) kod incelemesi gerçekleştirirken, gözden geçirenlerin muhtemelen çoğunlukla güvenlik olmayacak olan rahatlık bölgelerine odaklanma olasılığı daha yüksektir.” söz konusu.
Mereinik ayrıca, insan gözden geçirenlerin kaçınılmaz olarak hatalar yaptıkları ve çabalarının bir otomasyon düzeyiyle tamamlanması gerektiği konusunda da uyarıyor.
Mereinik, “Otomatik araçlar hiçbir zaman bir insan gözden geçirenin yerini tam olarak almayacak olsa da, yaygın ve bariz güvenlik kusurlarını tespit etmek için kullanılabilir ve insan gözden geçireni, anlamak için tüm dikkatlerini gerektiren daha karmaşık sorunlara odaklanmaya bırakabilir.” Dedi.
ÖNERİLEN Güvenlik hatası ödül programınızın kendi başına bir veri sızıntısı oluşturmadığından emin olun