Yakın tarihli bir Dynatrace raporuna göre, CISO’ların yalnızca %50’si geliştirme ekiplerinin yazılımı üretim ortamına dağıtmadan önce güvenlik açıklarına karşı kapsamlı bir şekilde test ettiğine inanıyor.
Bu, değişmesi gereken bir istatistiktir ve bunu değiştirmenin tek yolu, geliştiricilerin güvenlik uygulayıcılarıyla aynı fikirde olduğundan emin olmaktır.
Mücadeleler
Geliştiricilere, yazılım geliştirme süreçlerinde güvenliğin önemini kabul ettirmek birçok zorluğu beraberinde getirir. Dört kategoriye ayrılabilirler:
- Araçla ilgili zorluklar
- Uygulamayla ilgili zorluklar
- Altyapıyla ilgili zorluklar
- İnsanlarla ilgili zorluklar
Güvenlik araçlarını mevcut DevOps araçlarına entegre etmek karmaşık olabilir. “Güvenliğin uygulanmasında önemli bir engel [DevSecOps] araştırmacılar Roshan N. Rajapaksea, Mansooreh Zahedia, M. Ali Babara ve Haifeng Shenc, bunun nedeninin güvenlik ve diğer ekipler arasındaki araç seti farklılıkları olduğunu belirtti. Ayrıca her ekip üyesinin, belirli avantajlara dayalı olarak araçlar konusunda kendi tercihleri vardır.
Bazı araç setleri de yetersiz olabilir ve standartlar veya belgeler olmadan geliştiriciler entegrasyon konusunda daha fazla zorlukla karşılaşacaktır.
Uygulamayla ilgili zorluklar otomasyon ve dağıtımı içerir. DevOps süreçleri çoğunlukla otomatiktir ancak güvenlik insan eylemini, yani otomatikleştirilmesi zor olan manuel güvenlik uygulamalarını gerektirir.
Geliştiricilerin de amacı ürünü mümkün olan en kısa sürede sunmaktır, ancak DevSecOps’u uygulayarak geliştirme sürecinin olası güvenlik açıklarının düzeltilmesine izin verecek şekilde yavaşlaması gerekir.
Altyapı söz konusu olduğunda, karmaşık bir bulut ortamı güvenli yazılım geliştirmeyi yavaşlatabilir, çoklu bulut ortamı ise verilerin güvenliğinin sağlanmasında zorluklara neden olabilir. Yüksek düzeyde düzenlenmiş ortamlar (hava boşluklu ortamlar, tıbbi altyapı vb.) DevSecOps’un benimsenmesini de zorlaştırabilir.
Son olarak insanlarla ilgili zorluklar var: Geliştiriciler, DevSecOps’un geliştirme sürecine getireceği yakın değişiklikler konusunda zorluklar yaşayabilir ve DevSecOps’ta belirli güvenlik uygulamalarını yürütmek için gereken güvenlik becerilerinden yoksun olabilir.
CISO’lar ve geliştiriciler (sırasıyla %69 ve %64), geliştiriciler ve güvenlik ekipleri arasındaki iletişim ve işbirliği eksikliğinin önemli bir sorun olduğunu görüyor.
Geliştiricilerin henüz oluşturmadığı doğru bilgiler olmadan DevSecOps’un uygulanması da işe yaramayacaktır.
Çözümler
Geliştiricilerin DevSecOps’u kabul etmesini sağlamak için onların seslerinin duyulması gerekir; bu, güvenlik kararları alınırken onların söz sahibi olduğundan emin olmak anlamına gelir. Bu, güvenlik ve geliştirme mühendisleri arasında daha üretken ve sürekli bir işbirliğine ve iletişime katkıda bulunurken aynı zamanda roller ve sorumlulukları da tanımlayabilir.
Sola kaydırma bir zorunluluktur, ancak geliştiricilerin güvenli kodlama söz konusu olduğunda kendilerinden tam olarak ne beklendiğini bilmeleri gerekir.
“DevSecOps deneyimini geliştirmenin büyük bir kısmı, daha fazla araç sunmak değil, geliştiricilerin halihazırda sahip oldukları araçları nasıl kullanmaları gerektiğine ilişkin süreç ve beklentileri netleştirmektir. GitHub Gelişmiş Güvenlik direktörü Nick Liffen, Politikalarla ilgili net iletişim, SDLC genelinde güvenliğin uygulanmasına yönelik düzenli ve tutarlı bir yaklaşım sağlıyor” diyor.
Eğitim, DevSecOps uygulamasının önemli bir parçasıdır, ancak geliştiricilerin, güvenlik kodlamaya entegre edildiğinde işlerinin kesintiye uğramayacağından emin olmaları gerekir.
Onları daha fazla motive etmek için, güvenli bir şekilde nasıl kod yazılacağını bilmenin hem şirketin başarısına hem de kişisel gelişimlerine katkıda bulunabileceğini görmelerine izin vermek iyidir.
DevSecOps uzmanı olmanın iyi bir kariyer seçimi olduğunu öğrenmek, motivasyonlarını da artırabilir.
“2021 ile 2028 arasında DevSecOps pazarının %24,1’lik bir Bileşik Büyüme Oranında büyümesi bekleniyor. DevSecOps profesyonelleri bu hızlı yükselişin bir sonucu olarak birçok iş fırsatına sahip oluyor. Practical DevSecOps içerik lideri Misbah Thevarmannil, “Daha fazla şirket DevSecOps uygulamalarını benimsedikçe bu talebin artması bekleniyor” dedi.