Tasarım gereği güvenli yazılım geliştirmenin temel ilkelerinden biri, kuruluşların güvenlik kaygılarını daha ilk andan itibaren hesaba katma zorunluluğudur. Uygulamaların tasarlandığı, tasarlandığı ve kodlandığı şekilde yerleşiktir. Yazılım geliştiren küçük şirketlerin sorunu, bu tür bir sorumluluğu mühendislik veya DevOps sürecine dahil etmek için gerekli olan uygulama güvenliği uzmanlığına erişmenin ve bunun için ödeme yapmanın gerçekten zor olabilmesidir. Ve böylece, küçük şirketler, güvenliği pek fazla düşünmeden, çoğu zaman tüm iş modellerinin dayandığı yenilikçi uygulamalar olan yazılımı oluşturur ve gönderir.
Bir startup “büyüdüğünde” ve işini bazı uygulama güvenliği profesyonellerini uygun şekilde işe alabilecek kadar büyüttüğünde, tasarım gereği güvenlik çoktan pencereden uçup gitmişti. Yazılım yığınında halihazırda bir ton güvenlik teknik borcu birikmiş durumda. Bu yeni AppSec ekibi, daha başlamadan sekiz topun arkasında. Pahalı bir yeniden düzenlemeye gerek kalmadan, çoğu zaman yapabilecekleri tek şey, güvenlik kontrollerini devreye sokmak veya çok derinlere gidebilecek güvenlik sorunlarına yara bandı uygulamaktır.
Bu asırlık bir sorundur ve küçük işletme sahiplerine veya küçük geliştirme ekiplerine vaaz vermek kesinlikle pratik değildir.
“Deneyimli uygulama güvenliği personeli yetersiz ve büyük şirketler, dünyanın Microsoft’ları, Amazon’ları, Apple’ları ve Google’ları tarafından eziliyorlar ve eğer daha küçük bir şirketseniz, rekabet etmiyorsunuz demektir Ürün güvenliği ve AppSec ekiplerine liderlik eden Kymberlee Price, güvenlik araştırmacısı olarak çalıştığını ve Microsoft, Amazon ve Bugcrowd gibi şirketler için kırmızı ekip ve olay müdahale operasyonlarını yürüttüğünü açıkladı.
Sadece sınıfının en iyisi ürün güvenliği uzmanları ve güvenlik bilincine sahip geliştiricilerin hâlâ yazılım mühendisliği pazarının “tek boynuzlu atları” olduğunu değil, aynı zamanda çoğu küçük işletmenin bunu yapabilecek kadar büyük olmadığını da anlayacak kadar etrafta dolaştı. birini çok uzun süre meşgul etmeye yetecek kadar iş.
“Tam zamanlı bir tek boynuzlu ata ihtiyaçları yok. Strateji belirlemek için belki çeyreklik bir tek boynuzlu ata ihtiyaçları var ve ardından yılın geri kalanında bir tek boynuzlu atın %10’una ihtiyaçları var” diyor.
Tekboynuzları Paylaşmak
Price’ın yeni danışmanlık şirketi Zatik ile hafifletmeyi umduğu temel sorun da bu. Price, PGP ve Silent Circle’ı kurmasıyla tanınan bir başka güvenlik yıldızı olan kurucu ortağı Jon Callas ile birlikte, yeni kurulan şirketler ve küçük işletmeler için yazılım güvenliği oyun alanını eşitlemeyi umuyor. Zatik, şirketlerin bir güvenlik programını çalışır duruma getirmek için ihtiyaç duydukları tek boynuzlu at düzeyindeki AppSec uzmanlığının küçük bir yüzdesinden yararlanmasına yardımcı olan kısmi bir güvenlik danışmanlık firmasıdır. Biraz farklı bir odağa sahip, sanal bir CISO ile aynı kalıpta oluşturulmuştur.
“Sanal CISO’ları seviyoruz. Ancak bunlar genellikle kurumsal odaklı ve uyumluluk odaklıdır. Ayrıca daha çok tasarım, DevOps hattı, CI/CD, güvenlik kontrolleri ve benzeri şeylerle ürününüzü nasıl güvenli bir şekilde oluşturabileceğinize bakıyoruz. Price şöyle açıklıyor: “Yani bu kesirli modele gerçekten güzel bir tamamlayıcı.”
Bazı şirketler, eğer yeterince erken davranırlarsa, eksiksiz bir siber güvenlik programı oluşturma paketine ihtiyaç duyabilirler; kendisi ve Callas’ın bu konuda onlara yardımcı olacak donanıma sahip olduğu bir şey.
Price, “Bizim en önemli noktamız gerçekten geliştirici deneyimini güvence altına almak, ancak onların teknoloji yığınlarına bakmalarına, bazı önerilerde bulunmalarına ve diğer ortaklara bazı tanıtımlar yapmalarına yardımcı olabiliriz” diyor. Kendisi ve Callas’ın şu anda şirketi kendilerinin yönettiğini ancak Zatik’in ölçeklenmesiyle daha fazla personel getirmeyi planladıklarını ve aynı zamanda müşterileri için gerekli alanlarda ek uzmanlık sağlamak üzere bir ortaklar ağından faydalanmayı planladıklarını söylüyor. “Demek istediğim, çalışanların erişim kontrolü yoksa ürününüzün güvenliğini sağlamanıza yardımcı olamam. Bu yüzden diğer alanlara burnumuzu sokmayız.”
Sonuçta amaç, küçük şirketlerin tasarım gereği güvenlik anlayışını en başından itibaren geliştirmelerine yardımcı olmaktır. Bunu yalnızca harika bir iş fırsatı olarak değil, aynı zamanda teknoloji dünyasında güvenlik konusunda ilerleme kaydetmenin bir yolu olarak görüyor.
“Konuştuğumuz küçük şirketlerin sevdiğim yönlerinden biri de onların olgunluk döngüsüne erken girmemizdir” diyor. “Büyüdükçe, işe aldıkları ve yönettikleri mühendislerin bunun ‘biz bunu böyle yapıyoruz’ olduğunu anladığı, tasarımı itibarıyla güvenli bir platformla büyüyorlar. Elbette şube korumamız var, tabii ki bunları yapıyoruz çünkü ilk günden beri oradaydılar, oysa güvenlik ekibi daha sonra gelip onlardan bazı şeyleri değiştirmelerini talep ediyordu.”