Güvenlik liderleri ve yazılım geliştiricileri, sektör uzmanı Secure Code Warrior’ın (SCW) sektörde bir ilk olan çözümünün tanıtılmasıyla, kuruluşlarının yazılım geliştirme güvenlik duruşuna ilişkin daha derin bir görünürlükten yararlanacak ve bu da sözde güvenli tasarım kodu nirvanası yönündeki hareketleri destekleyecek.
SCW Trust Agent, kuruluşlardaki yazılım geliştiricilerinin güvenlik yeterliliğini ilk kez ölçen bir sektör ölçütü olan SCW Trust Score’un tanıtılmasının hemen ardından geliyor.
Kullanıcıların, kodun genel açık kaynak Git tabanlı depolara gönderilmesinin sıcak olup olmadığını veya ileride bir risk oluşturup oluşturmayacağını anlamalarına yardımcı olmak için yüz binlerce geliştiriciden toplanan milyonlarca öğrenme noktasından oluşan aynı veri kümesini kullanır. Çözümün güvenli yazılım geliştirme yaşam döngüsünün ayrılmaz bir parçası olmasını umuyor.
Şirketin kurucu ortağı ve CEO’su Pieter Danhieux, “Secure Code Warrior olarak, CISO’lara kuruluşlarındaki yüzlerce kaynak kodu deposuna ilişkin kod taahhütlerinin sağlığını ölçmeleri ve görünürlük sağlamaları için kolay dağıtılabilir bir çözüm sunarak onlar için yeni bir değer ortaya çıkarıyoruz” dedi.
“Yeniliklerimiz, kuruluşların, geliştirme hızından ödün vermeden, bir geliştiricinin beceri setleri ile üretilen kodun kalitesi arasındaki görünürlük farkını kapatma konusunda daha iyi bir konuma gelmesini sağlıyor.”
Trust Agent, GitHub, GitLab, Atlassian Bitbucket ve diğerleri dahil olmak üzere herhangi bir Git tabanlı depoyla çalışır. Yükleyicinin, o commit’in programlama dilinde öngörülen güvenli kod becerilerine sahip olarak işaretlenip işaretlenmediğini görmek için işlenmiş kodu inceleyerek çalışır ve bu bilgiyi commit’in sağlığını derecelendirmek için kullanır. Bu tescilli derecelendirmeler daha sonra diğer depolarda toplanabilir.
SCW, Trust Agent’ın geliştirici kapıcılığı söz konusu olduğunda daha fazla kontrol ve esneklik sunacağına inanıyor. Örneğin, yöneticilerin işe başlamadan önce geliştiricilerin temel bir beklenti kümesini karşıladığından emin olmak için politikalar ve kriterler belirlemesine izin verecek, kullanımıyla belirlenen herhangi bir beceri açığı için ise firmanın çevik öğrenme platformu devreye sokulabilecek.
Çözümün genel olarak, projenin ihtiyaçlarının hassasiyetine göre özelleştirilebilen politika yapılandırmalarıyla iyileştirilmiş güvenlik kontrolleri, kod taahhütlerinin güvenlik duruşuna ilişkin eyleme dönüştürülebilir içgörüler de dahil olmak üzere kapsamlı görünürlük ve uygulama güvenlik ekiplerinin en hassas incelemelere odaklanmasını sağlayarak projelerin daha hızlı ve daha güvenli bir şekilde teslim edilmesini sağlayan ölçeklenebilir geliştirici liderliğinde güvenlik sağlayacağı belirtildi.
CrowdStrike kaosu
SCW, geçen hafta milyonlarca Windows makinesini geçici olarak çökerten şüpheli CrowdStrike güncellemesinin yol açtığı kaosu, çözümlerinin toplu olarak önleyebileceği konusunda herhangi bir iddiada bulunmasa da, lansman, yazılım geliştirmenin bütünlüğünün gündemde çok önemli olduğu bir zamanda gerçekleşiyor.
Ancak olaya yol açan sorunun artık çekirdek belleğindeki null dereferansı olarak bilinen nispeten yaygın bir C++ yazılım güvenlik açığı olduğu kesin olarak tespit edildiğinden, Danhieux, ABD’deki CISA gibi güvenlik otoritelerinin, geliştiricileri bu tür güvenlik açıklarından kaçınmak için bellek açısından güvenli olmayan dillerden uzaklaşmaya çağıran son çağrılarını yineledi.
Sosyal medya platformu LinkedIn’de yazan yazar, bunun CrowdStrike için zor bir talep olacağını söyledi. Bunun nedeni, çekirdek düzeyindeki kodun çoğunun C++’da yazılmış olması ve bu nedenle çekirdek belleğine yüklenen veya ona erişmesi gereken şeylerin, CrowdStrike’ın durumunda uç nokta algılama ve yanıt (EDR) gibi, öngörülebilir gelecekte bunu kullanması gerekeceğidir.
Danhieux, null dereferans hatalarının birçok durumda meydana gelebileceğini ve “oldukça masum ve yapılması kolay hatalar” olduğunu söyledi.
Ancak, kuruluşların projelerinde bunlardan kaçınmak için yine de adımlar atması gerektiğini ekledi. “Bir saldırgan bunları keşfettiğinde, bir hizmet reddi saldırısında kullanılabilir veya basitçe uygulamayı veya tüm işletim sistemini çökertebilir,” diye açıkladı.
Danhieux, “SCW’de dil özelinde kodlama yönergeleri, mikro öğrenme videoları ve C/C++’da null dereferans etrafında birden fazla pratik kodlama zorluğu var” diye ekledi.