سایت خبرکاو

جستجوگر هوشمند اخبار و مطالب فناوری

پر کردن شکاف بین امنیت و توسعه دهندگان

(اعتبار تصویر: iStock) صرف نظر از آنچه شما نیاز دارید، یک برنامه برای آن وجود دارد. بر اساس گزارش Business of Apps، در واقع، 1.81 میلیون برنامه در اپ استور اپل در سال 2024 وجود دارد. این روند رو به رشد با پذیرش بیشتر نرم افزار به عنوان سرویس (SaaS) و رایانش ابری از جیب ما به مشاغل ما سرایت کرده است. یک شرکت به طور متوسط ​​371 برنامه SaaS دارد، در حالی که IDC دریافته است ...
شخصی <a href= که در رایانه است و به طور ایمن با افراد زیادی در تماس است. " class=" block-image-ads hero-image" onerror="if(this.src && this.src.indexOf('missing-image.svg') !== -1){return true;};this.parentNode.replaceChild(window.missingImage(),this)" srcset="https://cdn.mos.cms.futurecdn.net/XUFsAjnAaCahJpBvL5yLYh-320-80.jpg 320w, https://cdn.mos.cms.futurecdn.net/XUFsAjnAaCahJpBvL5yLYh-480-80.jpg 480w, https://cdn.mos.cms.futurecdn.net/XUFsAjnAaCahJpBvL5yLYh-650-80.jpg 650w, https://cdn.mos.cms.futurecdn.net/XUFsAjnAaCahJpBvL5yLYh-970-80.jpg 970w, https://cdn.mos.cms.futurecdn.net/XUFsAjnAaCahJpBvL5yLYh-1024-80.jpg 1024w, https://cdn.mos.cms.futurecdn.net/XUFsAjnAaCahJpBvL5yLYh-1200-80.jpg 1200w, https://cdn.mos.cms.futurecdn.net/XUFsAjnAaCahJpBvL5yLYh-1920-80.jpg 1920w" sizes="(min-width: 1000px) 600px, calc(100vw - 40px)" data-pin-media="https://cdn.mos.cms.futurecdn.net/XUFsAjnAaCahJpBvL5yLYh.jpg">
(اعتبار تصویر: iStock)

صرف نظر از آنچه شما نیاز دارید، یک برنامه برای آن وجود دارد. بر اساس گزارش Business of Apps، در واقع، 1.81 میلیون برنامه در اپ استور اپل در سال 2024 وجود دارد. این روند رو به رشد با پذیرش بیشتر نرم افزار به عنوان سرویس (SaaS) و رایانش ابری از جیب ما به مشاغل ما سرایت کرده است. یک شرکت به طور متوسط ​​371 برنامه SaaS دارد، در حالی که IDC دریافته است که شرکت ها در نیمه اول سال 2023، 315.5 میلیارد دلار برای خدمات ابر عمومی هزینه کرده اند.

همه این نرم افزارها و همه این نرم افزارها توسط انسان ساخته شده اند و مردم، معروف، اشتباه می کنند. اشتباهات در توسعه نرم افزار احتمال حملات را افزایش می دهد که منجر به حوادث امنیتی می شود. این خطرات را در اندازه پشته فناوری خود ضرب کنید و ایمن نگه داشتن محیط شما تقریبا غیرممکن به نظر می رسد.

مشکلات را زودتر شناسایی کنید

برای کاهش بخشی از ریسک و بار امنیتی، مشکلات را زودتر در فرآیند توسعه نرم افزار پیدا کنید. این مفهوم "shift-left" نامیده می شود زیرا شامل اجرای اسکن های امنیتی و تحلیل های اولیه در چرخه عمر توسعه نرم افزار (SDLC) است. نرم‌افزار اسکن در خط لوله یکپارچه‌سازی/استقرار پیوسته (CI/CD) مشکلاتی را که نیاز به توجه دارند قبل از آسیب‌پذیر شدن در برابر مهاجمان علامت‌گذاری می‌کند. با پیدا کردن اشکالات، پیکربندی‌های نادرست یا آسیب‌پذیری‌ها زودتر، می‌توانید آنها را زودتر و با هزینه کمتری نسبت به زمانی که همان مشکلات در برنامه‌های تولیدی اجرا می‌شوند یا بخشی از نرم‌افزاری هستند که در هزاران یا میلیون‌ها دارایی در دنیای واقعی مستقر شده‌اند، برطرف کنید.

اگرچه مفهوم امنیت شیفت چپ به عنوان بهترین روش در چند سال گذشته مورد بحث قرار گرفته است، به نظر نمی رسد به خوبی اجرا شود. داده‌های Sysdig 2024 Cloud-Native Security and Usage گزارش نشان می‌دهد که اسکن‌های روی سیستم‌های تولیدی بیشتر از اسکن‌های موجود در خط لوله ساخت CI/CD شکست می‌خورد. این گزارش 91 درصد از خطاهای خط مشی اسکن تولید را شناسایی کرد، در حالی که اسکن های CI/CD در 71 درصد شکست خوردند. اسکن‌های CI/CD قبل از اسکن‌های زمان اجرای تولید انجام می‌شوند، پس هرگونه خرابی ثبت شده در خط لوله ساخت CI/CD باید قبل از اسکن در زمان اجرا تصحیح شود. پس چرا در طول زمان اجرا شاهد چنین نرخ خرابی بالایی هستیم اگر مفهوم شیفت چپ بهترین عمل باشد؟

کریستال مورین

استراتژیست امنیت سایبری، Sysdig.

ایجاد تغییرات در فرآیندهای خود

اول و مهمتر از همه، بهبود همکاری بین تیم ها به جای پرداختن به الزامات امنیتی به تنهایی، تقریبا همیشه موثرتر و پایدارتر خواهد بود. از نظر یک توسعه‌دهنده، تغییر سمت چپ به مسئولیت‌های اضافه‌تری برای اصلاحات و تغییرات بدون کمک اضافی نیاز دارد. برای آنها، جابجایی به چپ ممکن است بیشتر شبیه افزایش حجم کار باشد تا تغییر رویکردی که می تواند خطرات امنیتی را کاهش دهد.

برای غلبه بر این مانع و کارکرد فرآیندهای شیفت چپ، پرسنل امنیتی باید بدانند که همکاران توسعه دهنده آنها در عمل چگونه کار می کنند. آیا برنامه‌هایی که آنها می‌سازند از اصول طراحی سنتی پیروی می‌کنند، آیا آنها برنامه‌های کاربردی ابری هستند که برای توزیع، تغییرناپذیر و زودگذر (DIE) ساخته شده‌اند، یا ترکیبی از ساخت‌ها در حال گذار از سنتی به بومی ابری وجود دارد؟

تیم‌های امنیتی با درک بهتر از پیچیدگی محیط‌ها و ساخت‌های برنامه‌هایشان در هسته، می‌توانند به توسعه‌دهندگان کمک کنند تا ریسک‌هایی را که در برنامه‌هایشان وجود دارد و چگونگی اولویت‌بندی و کاهش بزرگ‌ترین تهدیدها را قبل از تحقق در تولید، تحلیل کنند. این باید شامل تعیین میزان اهمیت ریسک برای سازمان و محیط شما و اقدامات لازم برای کاهش ریسک باشد. این فرآیند تضمین می‌کند که توسعه‌دهندگان می‌توانند روی هر تغییری که باید در جایی که بیشتر مورد نیاز است، تمرکز کنند، مانند آسیب‌پذیری‌های بحرانی قابل سوءاستفاده یا پیکربندی‌های نادرست.

به طور مشابه، تیم‌های امنیتی و ابزارهای آن‌ها می‌توانند جایی که اجزا یا مجوزهای تلف شده ممکن است در تصاویر کانتینر استاندارد گنجانده شوند را علامت‌گذاری کنند. توسعه دهندگان اغلب از ظروف نرم افزار یا تصاویر ماشین به عنوان الگوهای استاندارد برای استقرار استفاده می کنند. با این حال، اگر آن الگوها حاوی اجزای قدیمی باشند، هر استفاده از آن الگو به عنوان یک خطر امنیتی اضافی علامت گذاری می شود. به‌روزرسانی قالب‌های بار کاری توسعه‌دهنده، تعداد هشدارها و خطرات امنیتی را کاهش می‌دهد و تلاش‌های کاری تکراری را به حداقل می‌رساند.

بهبود امنیت قبل از تولید

در حالت ایده آل، کانتینرهای نرم افزاری غیرقابل تغییر هستند. این بدان معنی است که حجم کاری در طول زمان اجرا تغییر نمی کند. جابجایی کانتینر، یا اصلاح و به‌روزرسانی‌هایی که در یک کانتینر در حین تولید انجام می‌شود، اغلب هشدارهای امنیتی را ایجاد می‌کند، اما رویه‌ای رایج برای توسعه‌دهندگان است. اگر توسعه‌دهندگان در طول زمان اجرا (کنترل دریفت) خود را از تغییرات حجم کاری خودداری کنند، تیم‌های امنیتی می‌توانند تشخیص‌های حساس‌تر و وفاداری بالاتری را برای جابجایی کانتینر تنظیم کنند، که نشان‌دهنده فعالیت‌های مخرب بالقوه به جای نویز توسعه است.

اسکن‌های زمان اجرا در برجسته کردن مسائل امنیتی فعال در محیط تولید دقیق‌تر هستند. این اسکن ها به جای اینکه مشکلات امنیتی را به توسعه دهندگان منتقل کنند، مسائل امنیتی را بیشتر به تیم امنیتی نزدیک می کند. مشکلاتی که در محیط های تولیدی وجود دارد این پتانسیل را دارد که بر عملیات تجاری تأثیر منفی بگذارد.

دستاوردهای امنیتی بلند مدت

همه ما در زندگی روزمره و سازمان خود به نرم افزارها و برنامه های کاربردی متکی هستیم. این نرم افزار باید ایمن نگه داشته شود. ما می‌توانیم امنیت آن را با جابه‌جایی به چپ و نگه‌داشتن به عبارت «ایمن با طراحی» بهبود ببخشیم. نرم افزارها و برنامه هایی که به طور ایمن ساخته می شوند خطر حمله کمتری دارند و باعث خرابی اسکن خط مشی کمتری می شوند و بار امنیتی را بر دوش تیم های امنیتی و توسعه دهندگان کاهش می دهند.

در عمل، تیم‌های امنیتی باید با توسعه‌دهندگان کار کنند تا مشخص کنند این خطرات در کجا وجود دارند و چگونه می‌توان آنها را حذف کرد. در همان زمان، توسعه دهندگان می توانند تیم های امنیتی را آموزش دهند و با آنها همکاری کنند تا از ورود مسائل به کد یا اجزای زیرساخت جلوگیری کنند. این کار تیمی و به اشتراک گذاشتن اهداف مشترک، کیفیت کلی نرم افزار و امنیت را در کل سازمان ها بهبود می بخشد.

ما بهترین نرم افزار توسعه اپلیکیشن موبایل را فهرست کرده ایم .

این مقاله به عنوان بخشی از کانال Expert Insights TechRadarPro تهیه شده است که در آن بهترین و باهوش ترین ذهن ها در صنعت فناوری امروز را معرفی می کنیم. نظرات بیان شده در اینجا نظرات نویسنده است و لزوماً نظرات TechRadarPro یا Future plc نیست. اگر علاقه مند به مشارکت هستید، اطلاعات بیشتری را در اینجا بیابید: https://www.techradar.com/news/submit-your-story-to-techradar-pro

کریستال مورین، استراتژیست امنیت سایبری، Sysdig.

خبرکاو