Bu Yardım Ağı Güvenliği videosunda, Bionic Güvenlik Araştırması’ndan Jacob Garrison, uygulama güvenliğinde sola kaydırmanın sınırlamalarını açıklıyor.
Sola kaydırmanın etkinliğini engelleyen temel faktörler:
- %50’den fazla uygulama testi kapsamına ulaşmak, özellikle yüzlerce kod tabanını kapsayan mikro hizmet ortamlarında gerçekçi değildir.
- Güvenlik testleri yoğundur ve çalıştırması uzundur, bu da CI/CD ardışık düzenlerini etkileyen darboğazlara neden olur; kod değişikliği için tüm testleri çalıştırmak nadiren gerçekleşir.
- Yanlış pozitifler ve güvenlik testleri, genellikle bulguları görmezden gelen mühendisleri bunaltıyor.
- Güvenlik testleri, tüm uygulama mimarilerine değil, belirli kod bileşenlerine odaklanır; bu da bağımlılıklar, veri akışları ve ortam/uygulama yapılandırmalarıyla ilgili eksik risklerle sonuçlanır.
- Tüm uygulama kodu veya yapılandırma değişiklikleri CI/CD işlem hattında gerçekleşmez – Örneğin, düzeltmeler ve yamalar ortamdaki anında yapılandırma değişiklikleridir.
- Üretim ortamlarının üretim öncesinde çoğaltılması imkansızdır.