Gölge mühendislik birçok organizasyonda mevcuttur ve güvenlik, uyumluluk ve risk sorunlarına yol açabilir.
Bu Help Net Security videosunda, Endor Labs’da Araştırma Mühendisi olarak çalışan Darren Meyer, bunun neden sorunlara yol açtığını ve nasıl ele alınması gerektiğini tartışıyor.
Geliştiricilerin, onaylanmamış, takip edilmemiş veya bir organizasyonun en iyi uygulamalarına uymayan kod depolarını, araçları veya süreçleri kullanması, daha hızlı uygulama yayınlama hızına yönelik baskının ve güvenlik önlemlerinin ve asfalt yolların eksikliğinin doğal sonucudur.
Ancak, sinir bozucu bir köstebek vurma oyununa dönüşebilecek bu durumu engellemeye çalışmak yerine, güvenlik ekiplerinin gölge mühendisliğinin girişimlerini nasıl olumsuz etkilediğini anlayıp sorunu aşmaları gerekiyor.
Güvenliği iki ana şekilde etkiler: uyumluluk ve risk.
Kuruluşlar, uyumluluğu desteklemek için boru hattı araçlarının kapsam dahilindeki depolar için dağıtıldığını göstermelidir. Ancak, izlenmeyen araçları kullanan ve boru hatları içindeki uyumluluk kontrollerini atlayan geliştiriciler uyumluluk gerekliliklerini tehdit edebilir.
Güvenlik ekiplerinin ayrıca, CI/CD boru hatlarında kullanılan araçlar dahil olmak üzere yazılım oluşturmak ve dağıtmak için tedarik zincirine görünürlüğe ihtiyaçları vardır. Bilinen boru hatlarındaki gölge boru hatlarını ve riskli araç zincirlerini hızla belirleyemeyen bir güvenlik ekibi muhtemelen uzun süreli güvenlik açığı ve uzun süreli bir yanıtla ilişkili tüm stres, zaman ve fırsat maliyetlerini deneyimleyecektir.
Peki ne yapılabilir?
Gölge mühendisliğini ele almanın bir yolu, bir değişiklik inceleme süreci oluşturmak ve bunu önleyici kontrollerle uygulamaktır. Bu, boru hattı değişiklikleri için bir güvenlik inceleyicisi gerektiren bir kod sahipleri dosyası oluşturarak gerçekleştirilebilir. Ancak bunun bazı önemli dezavantajları vardır. Sadece çok fazla işlem yükü ve uygulama güvenliği kaynağı gerektirmekle kalmaz, aynı zamanda mühendislere ait boru hatlarının avantajlarını da zayıflatır. Bir uygulama güvenlik ekibini darboğaza dönüştürerek mühendislerin boru hattı değişiklikleri yapma yeteneğini yavaşlatmak, geliştiricilere büyük bir üretkenlik vergisi yükler.
Darren, daha iyi bir modelin, kuruluşlara boru hatlarında neyin çalıştığı ve hangi yapılandırmaların kurumsal gereksinimlerle uyuşmadığı konusunda net bir içgörü sağlayan otomatik kontroller kurmak olduğuna inanıyor. Bu, geliştiricilere kritik sorunları derhal bildiren ve güvenlik ekibine daha eksiksiz bir risk resmi sağlayan duyarlı bir süreç oluşturmalarına olanak tanır.