Infosec savunucusu The Daily Swig ile ‘sola kaymanın’ faydaları ve önündeki engeller hakkında konuşuyor
“Yazılım, güvenli olmadan en iyisi olamaz.”
Bu göre Janca’ya sorDevSecOps’u ciddiye almaya başlamazlarsa, işletmelerin “bir bakıma güvenlik eğrisinin gerisinde kalacakları” konusunda uyarıyor.
Janca’nın kendi kariyeri, bir yazılım geliştiricisinden BT endüstrisinde DevSecOps’un benimsenmesi için bir savunucuya geçişini gördü.
ile bir röportajda Günlük Swigşirketlerin neden ‘sol kaydırma’ zihniyetini benimsemeleri gerektiğini, bazı güvenlik ekiplerinin bunu yaparken karşılaştıkları engelleri ve yazılım geliştirme çalışma alanındaki engelleri aşmak için eğitimin neden çok önemli olduğunu anlattı.
Daily Swig: Kariyerinizin çoğu, sektörde DevSecOps’un benimsenmesini teşvik etmeye adanmıştır. Bu konuda neden bu kadar tutkulusunuz ve şirketler neden bunu benimsemeyi öğrenmeli?
Janca’ya sor: Bir geliştiriciyken, mümkün olan en iyi yazılımı oluşturmak istedim. Ancak güvenliğe geçtiğimde, yazılımımın güvenli olmasaydı ‘en iyi’ olamayacağını fark ettim. Endüstrinin AppSec hakkında ne kadar karanlıkta kaldığını fark ettiğimde, öğrendiğim dersleri paylaşmayı kendime görev edindim.
Zamanla daha fazla şey öğrendim ve sonunda DevSecOps’un güvenli yazılım sağlamanın en hızlı yolu olduğunu fark ettim ve bu da onu en sevdiğim ders haline getirdi. Şirketlerin er ya da geç DevSecOps’u benimsemeleri gerektiğine inanıyorum; yapmazlarsa, güvenlik açıkları işlerine zarar verecek ve kendilerini tabiri caizse güvenlik eğrisinin gerisinde bulacaklardır.
DS: DevSecOps zihniyetine geçiş yaparken şirketlerin karşılaştığı başlıca zorluklar nelerdir? Ve bunların üstesinden nasıl gelebilirler?
TJ: Bir şirket halihazırda DevOps yapmıyorsa DevSecOps’a geçmek oldukça zor olacaktır. Operasyonları, geliştirmeyi ve güvenlik programını aynı anda dönüştürmeleri gerekecek. Bu büyük bir öğrenme eğrisi ve güvenlik ekibinin tek başına yapması zor. Diğer takımlardan destek almak çok önemli olacaktır.
Bununla birlikte, bir şirket DevOps’u zaten benimsemişse, bu dönüşüm çok daha kolay olacaktır. DevOps ekibine, güvenlik ekibinin her zaman önlerine kapı koymaktan vazgeçeceğini, güvenlik geri bildirimlerini daha erken ve daha sık sağlayacaklarını ve güvenlik ekibinin onlarla çalışmak istediğini söylemek, birçok kuruluş.
Mevcut SDLC (Yazılım Geliştirme Yaşam Döngüsü) modeli ne olursa olsun, ilgili herkesin eğitimi hem teknik hem de kültürel engellerin üstesinden gelmeye yardımcı olacaktır.
KAÇIRMAYIN Geliştiriciler, kod incelemeleri sırasında hala güvenlik sorunlarıyla mücadele ediyor, çalışma bulguları
DS: Şirketiniz We Hack Purple (WHP), DevSecOps konusunda eğitim sunuyor. Eğitim ne tür bilgi güvenliği uzmanlarına yöneliktir?
TJ: We Hack Purple, proje yöneticileri, geliştiriciler, AppSec çalışanları ve hemşirelik ya da öğretmenlik gibi tamamen farklı kariyerlerden geçiş yapan pek çok kişi tarafından alınan isteğe bağlı sanal eğitim sunar. WHP, çok çeşitli öğrencileri ve topluluk üyelerini çekmek için çeşitli ve kapsayıcı olmak için çok çaba sarf etti.
Çeşitlilik, kapsayıcılık ve erişilebilirlik, başlangıçtan bu yana altı temel değerimizden üçü olmuştur. Bu, önemli ölçüde daha fazla kadının, beyaz olmayanların, engellilerin ve yeterince temsil edilmeyen gruplardan insanların akademimize katılmaya ve topluluğumuza katılmaya karar vermesiyle sonuçlandı. Bu başarıdan çok gurur duyuyoruz; herkesin öğrenmesi için güvenli bir yer yaratmak.
WHP’nin Bright Security tarafından satın alınmasından bu yana, WHP artık canlı sanal eğitim sunmuyor, ancak yine de biraz zaman buluyorum – zamanın% 66’sı, geliştiriciler veya geliştiriciler için hizmetler güvenlik ekibi tarafından satın alındı. güvenlik ekibinin kendisi. Zamanın üçte biri, güvenlik ekibinin başarısız olduğunu düşünen geliştirici ekipleri tarafından işe alındım ve AppSec sorumluluklarını kendileri üstlenmek istiyorlar.
DS: İnsanları bir DevSecOps zihniyetine sahip olmaları için eğitirken karşılaştığınız engellerden bazıları nelerdir?
TJ: Çok ilginç bir senaryo, bir geliştirici ekibinin beni gizlice işe alması ve güvenlik ekibinin radarı altında AppSec’i kendilerinin öğrenmelerine ve gerçekleştirmelerine yardımcı olmam gerektiğidir. Bu biraz garip gelebilir, ancak (ne yazık ki) çoğu insanın düşündüğünden daha yaygındır; birçok güvenlik ekibi, yazılımlarının güvenliğini kontrol altına alan geliştiricilere karşı savaşır.
Onlara araçlar verirlerse, geliştiricinin “kuruluşlarını hackleyeceğinden” veya “kötü niyetli olacağından” korkuyorlar, ki bu gülünç! Kötü niyetli bir yazılım geliştiricisi, herhangi bir kuruluşun en kötü kabusu; hepsi zaten bilgisayar korsanları ve isterlerse yoğun hasar verebilirler.
Geliştiricilere bir DAST tarayıcı veya başka bir güvenlik aracı vermek, etiklerini değiştirmeyecektir. Birine çekiç vermekle aynı şey; yapmak üzere değiller [just] onunla insanlara zarar vermeye başla.
En son DevSecOps haberlerinin devamını okuyun
DS: Bize Bright’daki yeni rolünüzden bahseder misiniz?
TJ: Bright’ta geliştirici ilişkileri çalışmasına liderlik ediyorum. Önceden onların danışmanıydım, bu yüzden zaten ürün geri bildirimi sağlıyor, genel tavsiye veriyor, tanıtım yapıyor ve zaman zaman içerik oluşturuyordum. Şimdi tüm bunları tam zamanlı olarak yapıyorum, ayrıca küçük bir ekibi yönetiyorum, bu da çok fazla mentorluk anlamına geliyor (en sevdiğim şeylerden biri!).
Tam bir rüya ekibim var, içerik üretmeyi seven, bazılarını satın alma kapsamında yanımda getirdiğim ve bazılarını da geldiğimden beri işe aldığım insanlar. Bright’ın desteğiyle, son yıllarda sahip olduğumdan çok daha fazla yerde ve konferansta bizzat konuşabiliyorum.
DS: 2022’nin geri kalanı için planlarınız neler ve ayrıntılarını paylaşabileceğiniz yaklaşan projeler üzerinde çalışıyor musunuz?
TJ: Viyana’daki Sec4Dev pandemisinden bu yana ilk kez Avrupa’ya seyahat ettim. Ayrıca, teknolojide yeterince temsil edilmeyen gruplardan kadınlar ve diğer tüm insanlar için çeşitli etkinlikler üzerinde çalışıyorum. Son olarak, ama kesinlikle en az değil, Aralık 2023’te çıkması gereken ikinci kitabım Alice ve Bob Güvenli Kodlamayı Öğrenmek için imza attım.
ŞUNLAR DA HOŞUNUZA GİDEBİLİR ‘Hala son on yılın savaşını veriyoruz’ – Sonatype CTO’su Brian Fox, ihmal edilen yazılım tedarik zincirini güvence altına alma mücadelesi üzerine