“Sola kaydırma” dünya çapındaki CISO’lar ve güvenlik uygulayıcıları için tanıdık bir kavramdır. Artan uygulama güvenliği risklerini azaltmak amacıyla, yazılım geliştirme yaşam döngüsünün (SDLC) başlarında güvenlik uygulamalarının entegrasyonunu teşvik etmek için türetilmiş bir terim. Daha verimli ve güvenli yazılım sunma, sorumlulukları ölçeklendirme ve geliştiricilere güvenlik hatalarını düzeltme yetkisi verme becerisine sahip olan konseptin, son yıllarda sektörde önemli bir ilgi görmesi şaşırtıcı değil. Ancak artan farkındalığına rağmen güvenlik ekipleri sola kaydırmayla satın alma ve uygulama konusunda zorluklarla karşılaşmaya devam ediyor.
Güvenliği sola kaydırmanın önünde çeşitli engeller var. Bunlardan ilki ve belki de en yaygın olanı, sola kayma yolculuğundaki mevcut konumları konusunda kuruluşlar içindeki anlayış eksikliğidir. Bu zorluk, mevcut kaynakların yetersiz olmasıyla yakından ilişkilidir. Aslında sola kaydırma, hem parasal hem de personel. Sola geçişin benimsenmesinin aşamalarını belirlemek ve anlamak, başarılı bir şekilde uygulanmasının ve her aşamada gereken kaynak tahsisini tasvir edebilmenin anahtarıdır. Ancak sektördeki benzerleri arasında henüz keşfedilmemiş bir olgu olmaya devam ediyor ve sola geçiş yolculuğunda engeller ve engeller yaratıyor.
Sola kaydırma yolculuğu dört temel aşamadan oluşur: kutu kontrol temelleri, sola kaydırma merak uyandırıcı, sola kaydırma kararlı ve sürekli güvenli. Bu sürecin temel bileşenlerinden biri insanların, süreçlerin ve araçların kusursuz entegrasyonudur. Güvenliği entegre eden, sağlam süreçler kuran ve doğru araçları kullanan bir kültür inşa eden ve besleyen kuruluşlar, tüm yazılım geliştirme yaşam döngüsü boyunca güvenlik duruşunu güçlendirerek her aşamada ilerleme araçlarına sahip olacak.
Güle güle Temeller
Birçok kuruluşun sola kaydırma yolculuğu, temel kutu kontrol faaliyetleriyle başlar. Kuruluşlar, güvenlik duruşlarını proaktif olarak geliştirmek yerine, uyumluluk düzenlemelerine tepkisel olarak uymaya kararlıdır. ‘Kutu kontrolü temelleri’ aşamasında, uygulama güvenliği ekiplerinin çabaları genellikle yalnızca uygulamaları üretimde test etmeye, bildirimler oluşturmaya ve denetim ekiplerine bir süreçleri olduğunu kanıtlarken geliştiricilerin sorunları bağımsız olarak çözmelerine izin vermeye odaklanır. Orada sıfır Bu aşamada uygulamaları geliştirenlerle güvenlik ekibi arasındaki işbirliği, güvenlik kusurlarının geç keşfedilmesine, şişirilmiş hafifletme maliyetlerine ve ürün sürümleri için zaman çizelgelerinde aksaklıklara neden olur. Ancak sola kaydırmanın başarısı, güvenlik ekipleri ve geliştiriciler arasındaki derin işbirliğine bağlıdır.
Hızlanan sürüm döngüleri ve artan güvenlik riskleri nedeniyle, basit kutu kontrol temelleri girişimleri, kuruluşları modern kötü aktörlerden korumak için yetersiz kalıyor. Acil bir değişim ihtiyacıyla kuruluşlar, sola kaydırma uygulamalarının küçük, kontrollü uygulamalarıyla, özellikle de geçişi kolaylaştırma ve direnci önleme değerini gösteren girişimlerle başlayarak sola kaydırma yolculuklarına başlayabilirler. Başarılı pilot programlar, kavramın kanıtı olarak hizmet edebilir, daha geniş çapta benimsenmeyi teşvik edebilir ve güvenliğe daha entegre bir yaklaşımı teşvik edebilir.
Shift-Sol Meraklı
Bir kuruluş, kutu kontrolü temellerinden geçiş yaptıkça ve doğası gereği güvenlik uygulamalarında reform yapma isteğinin daha fazla olduğu, sola kayma meraklı bir aşamaya dönüştükçe, çoğu zaman kuruluşlar bu çabaları yürütebilecek özel bir güvenlik şampiyonuna sahip olacaktır. Ancak kapsamlı bir strateji ve sola kaymayı benimseyen temel girişimler olmadan, bu tür liderler ve kuruluşları eninde sonunda engellerle ve destek eksikliğiyle karşı karşıya kalacaklardır. Birçoğu ilk önce dalıp sola kaydırma uygulamalarını hızlı bir şekilde ölçeklendirmeye çalışırken, küçükten başlamak başarının anahtarıdır ve AppSec ile mühendislik ekipleri arasında derin işbirliğini güçlendirmektir.
Kuruluşlar, bu iki önemli ekip arasında bilgi paylaşımını teşvik eden, güvenlik hedeflerini ve değer dağıtımını uyumlu hale getiren bir kültür geliştirmeye çalışmalıdır. Bu uygulama, güvenlik risklerinin, bunların nerelerde devam ettiğinin ve başarılı bir şekilde hafifletilmesi için gerekli adımların daha net anlaşılmasına yol açacaktır. Bu aşama, dağıtım ekipleriyle birlikte oturup nasıl çalıştıklarını, sola kaydırma metodolojilerinin etkili bir şekilde benimsenmesini anlamak için kullandıkları araçları ve süreçleri dinlemek için harika bir yerdir.
Shift-sola Kaydedildi
Kuruluşlar bir işbirliği kültürünü teşvik ettikten ve sola geçişin başarısı için gerekli araç ve süreçleri belirledikten sonra, kuruluşlar uygulamaya olan bağlılıklarını doğrulamaya başlayacaklardır. Bu aşamada kuruluşların, geliştirme iş akışlarının tüm aşamaları boyunca güvenlik süreçlerini entegre etmeye başlayacakları görülecektir. Bu süreç boyunca ortaya çıkabilecek bazı zorluklar vardır. Çoğu zaman kuruluşlar, özellikle test süreçlerini ölçeklendirmeye çalışırken teknik araçlarla ilgili sorunlarla karşılaşacaktır.
Sola geçiş meraklısı aşamasına benzer şekilde, güvenlik bilincine sahip bir kültürü beslemek ve CI/CD işlem hatlarına otomatik güvenlik kontrollerini yerleştirmek için bu aşamada güvenlik ekipleri ve geliştiriciler arasında derin bir işbirlikçi ilişki sürdürmek önemlidir. Bu, geliştirme süreci boyunca kesintisiz güvenlik sağlayacaktır. Ayrıca, sola kaydırılan araç ve süreçlerin endüstri uyumluluk gereksinimlerini karşıladıklarından ve gelişen güvenlik risklerine dayanabildiklerinden emin olmak için düzenli olarak değerlendirilmesi de önemlidir.
Tutarlı Güvenlik
Sola kaydırmanın ideal sonucu, AppSec ve geliştirme ekiplerinin uygulamaların güvenliği konusunda ortaklaşa sorumluluk üstlendiği ve sola kaydırma zihniyetini tamamen benimsediği “sürekli güvenli” bir duruma ulaşmaktır. Ekiplerin potansiyel güvenlik açıklarını erkenden proaktif bir şekilde belirlemesine ve ele almasına olanak tanıyan, saldırı yüzeyini en aza indiren ve maliyetli ihlal riskini azaltan derin bir kültürel değişim. Bu aşamada kuruluşlar çoğu durumda çeşitli güvenlik araçlarını denemiş ve test etmiş ve kendi benzersiz ihtiyaçlarına uygun ve birçok süreci kolaylaştırmak için görevleri otomatikleştiren bir çözüm paketini benimsemiştir. Bu ileri görüşlü strateji yalnızca bir kuruluşun genel güvenlik duruşunu güçlendirmekle kalmaz, aynı zamanda kullanıcıların bilgilerini ve gizliliklerini koruma konusundaki kararlılığını sergileyerek kullanıcılar arasında güven oluşturur.
Koşmadan Önce Yürüyün
Bir kuruluşun iş operasyonlarının doğasına, büyüklüğüne ve sektörüne bağlı olarak, sola kaydırmayı benimseme teknikleri ve süreçleri sonuçta farklılık gösterecektir. Ne yazık ki başarısının tek bir tutarlı formülü yok. Ancak yolculuğun her aşamasını ve her aşamada gerekli olan insanları, süreçleri ve araçları anlamak, kuruluşların güvenlik duruşlarını geliştirecek ve daha güvenli uygulamalar oluşturacak bir strateji oluşturmasına olanak tanıyacaktır. sola kaydırma, biraz deneme ve çaba gerektiren sürekli bir yolculuktur. Kuruluşlar, güvenlik süreçlerini tüm geliştirme yaşam döngüsü boyunca derinlemesine entegre ederek ileriye yönelik daha güvenli bir yol oluşturabilir.
Yazar Hakkında
Scott Gerlach, CSO, bilgi güvenliği alanında 20 yıldan fazla deneyime sahiptir. Scott, güvenlik açıklarını belirleme ve bu riskleri azaltmak için güvenli ve etkili politikalar ve prosedürler geliştirmek üzere şirketlerle birlikte çalışma konusunda uzmanlığa sahip tutkulu bir Güvenlik Görevlisidir. Uzmanlığı, BT güvenlik stratejisi ve politikasının geliştirilmesi, uygulanması ve yönetilmesi, risk yönetimi, izinsiz giriş tespiti, güvenlik açığı değerlendirmesi, ağ güvenliği tasarımı, uygulama güvenliği ve olaylara müdahaleyi kapsamaktadır. StackHawk’u kurmadan önce Twilio’da CSO olarak görev yapıyordu. Ayrıca GoDaddy’de güvenlik konusunda neredeyse on yıl geçirdi.
LinkedIn: Scott Gerlach ve şirket web sitesi: https://www.stackhawk.com/