[By Eitan Worcel, CEO and co-founder, Mobb.ai]
Kuruluşların yazılım uygulamalarının güvenliğini sağlamak için mümkün olduğunca çok şey yapması beklenirken, geliştiricilerin güvenli kod yazmasını beklemek her ikisinin de başarısız olmasına neden olur. Sorunun temelinde, güvenli kodlamanın genellikle geliştiricilerin temel bilgileri öğrendiği okullarda öğretilmemesi ve şirketler her şeyden önce hıza odaklandığında, geliştiricilerin hızlı teslimat yapabilmesi için süreçlerin ve iyi planlanmış güvenlik mimarisinin bir kenara atılmasıdır. , güvenli mimari. Kuruluşlar güvenlik eğitimi sağlasa veya üçüncü taraf sertifikaları talep etse bile, geliştiricilerin neden işe alındığına dair temel odak noktasını, yani toplumumuzu geliştirmek için güvendiğimiz teknolojiyi yaratmak ve inşa etmek, geçersiz kılmak yeterli değildir.
Kodlama bir bilgisayar bilimi olduğu kadar bir sanat dalıdır. Kodun yaratıcı doğası ile güvenliğin katılığı bir araya geldiğinde sektördeki çok önemli bir gözden kaçırmayı gün ışığına çıkarıyor: geliştiricilerden temel bir vurgu olmadan, başlangıçtan itibaren güvenli kodlamada başarılı olmalarını beklemek sadece pratik değil, aynı zamanda gerçekçi de değil. Güvenli kodlamanın norm haline gelmesi için kuruluşların, güvenliği geliştirme sürecinin organik bir parçası haline getirme sorumluluğunu üstlenmeleri gerekir; bu aynı zamanda uygun tehdit modellemeye zaman ayırma ve iyi bir güvenlik mimarisi oluşturma anlamına da gelir. Ancak o zaman kuruluşlar, inovasyonun güvenlik endişeleri nedeniyle engellenmemesini sağlayabilir.
Güvenli Kodlama Beklentilerinin Gerçeği
Sektörün, geliştiricilerin güvenli kod yazma konusunda uzmanlaşması ve bu beceriyi günlük iş yüklerine dahil etmesi için iş başında eğitimin yeterli olduğuna dair uzun süredir devam eden inancı, bazı temel gerçekleri gözden kaçırıyor. İlk olarak, yukarıda da belirttiğim gibi, güvenli kodlama geliştiricilere yönelik standart eğitim müfredatına çoğu zaman dahil edilmiyor, bu da geliştiricilerin erken öğrenme aşamalarında derinlemesine aşina oldukları bir beceri olmadığı anlamına geliyor. İkinci olarak, rollerinin günlük talepleri genellikle güvenli kodlama uygulamalarıyla sürekli etkileşimi gerektirmez.
Bu durum, birden fazla eğitim oturumu olsa bile güvenli kodlamayı geliştiricinin rutinine yerleştirmenin iddialı ve beklenmedik bir hedef olarak kaldığı bir kopukluk yaratıyor. Eğitim değerli olsa da geliştiricileri mutlaka güvenlik uzmanlarına dönüştürmez. Beklentiler ile gerçeklik arasındaki bu uçurum, Secure Code Warrior’un ‘Yazılım güvenliğini iyileştirmeye yönelik zorluklar (ve fırsatlar)’ 2022 teknik incelemesinde vurgulanmaktadır. Bulgular şunu anlatıyor: Geliştiricilerin %33’ü kodlarını neyin savunmasız hale getirdiğinden emin değil ve %63’ü güvenli kod yazma sanatını zorlayıcı buluyor.
Şirketlerin Markayı Kaçırdığı Yer
‘Geliştirici Odaklı Güvenliğin Durumu’ 2022 araştırması sektörde göze çarpan bir boşluğa işaret etti. Yöneticilerin %75’i güvenlik çerçeveleri konusunda daha fazla eğitime ihtiyaç duyulduğunu kabul etmesine ve geliştiricilerin güvenli kodlama uygulamalarını öğrenmesine veya benimsemesine teşvik etmesine rağmen, birçok şirket hâlâ bu standartları işe alım uygulamalarına veya iş tanımlarına dahil etmekte başarısız oluyor. Güvenli kodlama, önemli bir işe alma kriteri veya roller kapsamında tanımlanmış bir sorumluluk olarak tanımlanmazsa, işverenler geliştiricilerin bunu bir öncelik haline getirmesini bekleyemez.
Ancak sektör bu tutarsızlığın farkına varmaya başlıyor. Yöneticilerin %82’si, halihazırda güvenli kodlama becerilerine sahip geliştiricileri işe almayı tercih etmeye başladı, ancak yöneticilerin yalnızca %66’sı yeni işe alımları değerlendirirken güvenli kodlama becerilerine bakıyor ve yalnızca %44’ü bu becerileri yazılı bir test aracılığıyla değerlendiriyor. Bu değişim daha geniş bir soruna işaret ediyor: endüstri beklentileri ile yazılım geliştirmenin pratik gerçekliği arasındaki ayrılığa. Güvenli kodlama, teorik bilginin ötesinde sürekli pratik ve destek gerektiren özel bir beceridir.
Yazılım Geliştirmede Yeni Bir Standardın Benimsenmesi
Yazılım geliştirmenin evrimi, güvenliğin geliştirme temel süreçlerine etkili bir şekilde entegre edilmesine bağlıdır. Eğitim kurumları, gelecekteki geliştiricilere temel becerileri aşılamaktan sorumlu oldukları için bu dönüşümde çok önemli bir role sahiptir. Bu yaklaşım, güvenliğin yazılım oluşturmanın doğal ve temel bir unsuru olduğu yeni nesil geliştiricileri yetiştirmeyi ve böylece inovasyonun özünde güvenlik hususlarını içerdiği bir temel oluşturmayı amaçlamaktadır.
Bu eğitim çabalarına paralel olarak, güvenli kodlama için elverişli bir ortamın şekillendirilmesinde işletmelere önemli bir rol düşmektedir. Bu sorumluluk, güvenliği operasyonel ve işe alım stratejilerine entegre etmenin ötesine uzanır; aynı zamanda bir tehdit modelleme sürecinin yürütülmesini, kodun güvenliğini basitleştiren ve geliştiricilerin temel beceri setleri ve iş akışlarıyla uyumlu hale getiren araçların benimsenmesini de içerir. İnsan uyumluluğunu beklemek ve ona güvenmek yerine güvenlik teknolojisini süreçlere dahil etmek, işletmelerin yaratıcı yenilik arayışını güvenliğe yönelik kararlı bir bağlılıkla uyumlu hale getirmesine olanak tanır. Bu denge, teknolojik atılımların yalnızca öncü olmakla kalmayıp aynı zamanda tasarım yoluyla güvenli bir şekilde tasarlandığı bir geleceğe ulaşmak için gereklidir.
Reklam