Soru: Geliştiricilerimizi yavaşlatmadan kuruluşumun güvenliğini sola kaydırmasını nasıl sağlayabilirim?
Scott Gerlach, CSO ve StackHawk’un kurucu ortağı: Sonuçta insanların, süreçlerin ve teknolojinin bir karışımını gerektirir. Tek başına alet kullanmak sizi oraya ulaştıramaz. Yolculuklarına başlayan kuruluşlara genellikle aşağıdaki altı adımı öneriyorum. Ekipler adımları uyguladığında geliştirici hızından ödün vermeden güvenliği sola kaydırmaya başlayabilirler.
1. Geliştirme Ekibini AppSec Tasarım Sürecinin Erken Aşamalarına Dahil Edin
Geliştiricilerin sola vardiya çalışmasıyla ilgili kararlara dahil olmaları gerekiyor. Aşağıdakileri yapmak için onlarla ortak olun:
- Değerlendirme ve yerleşik araçlar
- Uygun düzeltme döngüleri oluşturun
- Bulguların nasıl atanacağını ve izleneceğini belirleyin
- Geliştirme liderliğinden destek alın
AppSec süreci, geliştiricilerin işini daha az kesintiye uğratacak ve yazılımın kullanıma sunulmasına yardımcı olacak şekilde tasarlanmalıdır.
2. Güvenlik Ekibini Geliştirme Sürecinin Erken Aşamalarına Dahil Edin
Geliştiriciler, uygulama tasarımının başlangıcında güvenlik ekibine, uygulamalarının hedeflerini ve iş önemini, işleyeceği veri türünü ve amaçlanan işlevselliğini iletmelidir. Güvenlik ekibi daha sonra risk toleransını doğru bir şekilde değerlendirebilir ve herhangi bir kodlama başlamadan önce kimlik doğrulama ve şifreleme gibi güvenlik önlemlerinin uygulanması konusunda rehberlik sağlayabilir.
3. Geliştiricilerin Kendilerine Yardım Etmesine Yardımcı Olun
Geliştiricilerin, keşfedilen bir sorunun ne olduğunu, neden önemli olduğunu ve sorunu düzeltebilmeleri için nasıl yeniden oluşturulabileceklerini anlamalarına yardımcı olacak araçları benimseyin. Bir sonraki adım, geliştiricilerin bulguları önceliklendirerek güvenlik kararlarını belgelemelerine olanak sağlamaktır. Burada amaç birlikte öğrenmek, her şeyi %100 doğru yapmak değil.
4. Geliştiriciler için Hedefli Güvenlik Eğitimi Sağlayın
Geliştiricilerin kararları belgelemelerine izin verdiğinizde, bu bilgileri, kendi kodları ve iş açısından önemi bağlamında kalıplara dayalı hedefli eğitim sağlamak için kullanabilirsiniz.
Örneğin: A Takımının bahar önyükleme kodunda sürekli olarak XSS hataları yaptığını varsayalım. Eğitim kaynaklarını genel materyal yerine buna odaklayın.
5. CI/CD’de Güvenlik Testini Otomatikleştirin
CI/CD’de test yapmak, birim ve entegrasyon testleri gibi diğer otomatik yazılım testlerinin yanı sıra güvenliğin de geliştirme sürecine entegre edilmesini sağlamaya yardımcı olur. Enjeksiyon saldırıları, hassas verilerin açığa çıkması ve siteler arası komut dosyası oluşturma gibi yaygın Web uygulaması tehditlerine yönelik testleri otomatikleştirerek başlayın.
6. Geliştirme, Güvenlik ve Operasyon Ekipleri Arasında İşbirliği Yapın
Güvenlik açığı raporlarını duvarın üzerinden bir sonraki ekibe atmak işbirliği değildir. Yukarıdaki adımların uygulanması, ekiplerin potansiyel güvenlik risklerini belirlemek ve bu riskleri azaltmaya yönelik stratejiler geliştirmek üzere etkili bir şekilde birlikte çalışmasına yönelik bir temel oluşturur.