Daha güvenli uygulamalara sahip olmak için sola kaydırma veya güvenliği yazılım geliştirme yaşam döngüsüne daha erken entegre etmek önemlidir, ancak bunu başarmak zordur. Geliştiricilerin bazı güvenlik sorumluluklarını üstlenmeleri gerekir ancak bu, iş akışlarına uygun güvenlik araçlarıyla uygun şekilde donatılmaları gerektiği anlamına gelir. Yakın zamanda yapılan bir Ponemon anketinde, BT ve güvenlik uygulayıcılarının %51’i entegre güvenlik araçlarının eksikliğinin sola kaydırma güvenliğinde en büyük zorluk olduğunu söyledi.
Bu hafta başlatılan Symbiotic Security’nin, güvenlik açığı tespitini ve iyileştirme yeteneklerini doğrudan uygulama geliştiricisinin entegre geliştirme ortamına entegre eden hizmet olarak yazılım platformuyla ele aldığı sorun budur. Platform aynı zamanda geliştiricilere güvenli kodun nasıl yazılacağı konusunda bilgi sahibi olmaları için tam zamanında eğitim de sağlıyor.
Symbiotic Security’nin kurucu ortağı ve CEO’su Jerome Robert, “Symbiotic’i kullanmak, kod yazarken yanınızda kişisel bir güvenlik koçunun olması gibidir” diyor. “Yaptığınız güvenlik hataları hakkında gerçek zamanlı geri bildirim sağlıyor ve bu hataları tekrarlamamanız için sizi eğitiyor.”
Geliştiricinin IDE’sindeki eklenti, geliştiricinin yanı sıra zaten yazılmış olan kodu da sürekli olarak tarar ve potansiyel güvenlik tehditlerini tanımlar. Geliştirici, bağlamsal iyileştirme tavsiyesini doğrudan IDE’den alır. Robert, “Güvenlik dürtülerimiz koçluk olarak algılanıyor” diyor. “Bu, eski kodu düzeltmek için geri gelmelerine gerek kalmadan zamandan tasarruf etmelerini sağlayacak bir araç.”
Geliştiriciler ayrıca sorunun ne olduğunu ve neden sorun olduğunu öğrenmek için bayrağı yakalama (CTF) içeriği biçimindeki eğitim materyallerine de erişebilirler. Güvenli ve savunmasız kod örneklerini görüyorlar ve güvenli kodlama becerilerini geliştirmeye yardımcı olacak bir oyunun parçası olarak bulup düzeltmeleri için güvenli olmayan bir kod parçacığı sunuluyor.
Robert, Symbiotic Security’nin eklentisi ile diğer kod güvenliği araçları arasındaki farkın, sorunların tanımlandığı yer olduğunu söylüyor. Birçoğu, kod yazıldıktan sonra, genellikle kodun işlenmesi sırasında veya yapının geri kalanıyla entegre edildiğinde hataları yakalar.
Robert, “Kimse bir taslağın orada burada birkaç hata yapmaktan rahatsızlık duymaz ve geliştiricilere güvenlik konusunda tavsiyelerde bulunurken olmasını istediğimiz zihinsel durum budur” diyor. “Eğer taahhütte olsaydık (veya daha yaygın olarak CI’da olsaydık), bir geliştiricinin ‘Bu benim son sürümüm, bu kodun kullanıma hazır olduğunu’ söylemesinin ardından temel olarak sorunları işaretliyor olurduk.”
Lansmanın bir parçası olarak Symbiotic Security ayrıca Lerer Hippeau, Axeleo Capital ve Factorial Capital gibi yatırımcılardan 3 milyon dolarlık başlangıç fonu topladı. Symbiotic Security, ürününün şu anda sekiz farklı şirkette kullanıldığını söyledi.