9 نقاط أمنية يجب مراعاتها طوال دورة حياة التطبيق الخاص بك

9 نقاط أمنية يجب مراعاتها طوال دورة حياة التطبيق

نظرًا لأن تحمل المسؤولية الفردية عن الأمان يحدث طوال دورة حياة التطبيق، فهذا أمر جيد وجيد، ولكن هذا التعميم يحتاج إلى تعليمات أكثر تحديدًا.

 يعد تقليل المخاطر وتأمين التطبيقات نظامًا معقدًا يتطلب معرفة متخصصة، والتي لا يمكن “تنزيلها” ببساطة على المطورين أو فرق العمليات الحالية. 

اكتشف كيف يمكن لمؤسستك تحسين عائد الاستثمار على المدى الطويل من خلال مواجهة المخاطر الأمنية قبل أن تصبح انتهاكات.

العلاقة بين التطوير والعمليات

لفهم السبب، دعونا نلقي نظرة على علاقة العمل بين التطوير والعمليات. ومع تقارب علاقات العمل بين الفريقين (من خلال مبادئ وممارسات وأدوات DevOps)، زادت سرعة تسليم البرامج بشكل كبير.

 انتقلت الفرق من إصدار تحديثات البرامج عدة مرات في السنة إلى القيام بذلك عدة مرات في الأسبوع أو حتى عدة مرات في اليوم. 

تعالج هذه القدرة المتزايدة حاجة المؤسسات للاستجابة لضغوط السوق وطلب العملاء، ولكنها يمكن أن تزيد المخاطر إذا لم تواكب فرق الأمان والأدوات وتيرة التسليم.

9 نقاط أمنية يجب على قادة التكنولوجيا مراعاتها طوال دورة حياة التطبيق

لقد أصبحت الحاجة إلى تطبيق مبادئ الأمان طوال دورة حياة تسليم البرامج واضحة للغاية، وهي المبدأ الأساسي لحركة DevSecOps: إضافة الأمان إلى جميع عناصر ممارسة DevOps الحالية دون التأثير على سرعة التسليم.

في البيئات التي لا تستخدم عقلية DevSecOps، غالبًا ما يتم تطبيق ضوابط الأمان فقط بعد نشر التطبيق – مما يزيد من المخاطر التي تتعرض لها المؤسسة ويضيف إعادة صياغة كبيرة وتأخيرًا في إنتاجية المطور.

لفهم التحدي، هناك تسع نقاط أمنية يجب على قادة التكنولوجيا مراعاتها طوال دورة حياة التطبيق:

  • لا يقوم متخصصو الأمن بتطوير وكتابة كود التطبيق الوظيفي بشكل يومي.
  • لا يتابع المطورون أو يستجيبون للحوادث أو الأحداث المتعلقة بالأمان بشكل يومي.
  • لدى المطورين ومحترفي الأمان مجموعة مختلفة من الأولويات، ومجموعة مختلفة من الأدوات، وغالبًا ما يكون لديهم هيكل تنظيمي مختلف لإعداد التقارير.
  • غالبًا ما يكون التواصل بين الفرق “معتمدًا على التذاكر”، مما يزيد من خطر سوء التواصل والفجوات في التغطية وإعادة العمل.
  • من المفترض عمومًا أن يتم تأمين البنى التحتية السحابية والسحابية الهجينة المحلية تلقائيًا، وهو ما لا يحدث غالبًا.
  • تزداد التطبيقات تعقيدًا بشكل متزايد أثناء انتقالها من الخدمات المتجانسة إلى الخدمات الصغيرة، مما يزيد من تعرض كل مكون للهجوم.
  • يقوم المطورون بشكل متزايد بتأليف المكونات ذات الصلة بالبنية التحتية والتي تكون معقدة للغاية (مثل بيانات Kubernetes أو غيرها من لغات البنية التحتية كرمز).
  • يقوم متخصصو العمليات والأمن بتشغيل وحماية مئات إلى آلاف التطبيقات وليس لديهم معرفة عملية وثيقة بالمتطلبات الأمنية لكل تطبيق.
  • يتجاوز عدد المطورين عدد مهندسي الأمان بكثير بنسبة 100 إلى 1 (في دراسة أجراها جين كيم)، وقد لا يكون لدى المطورين فهم جيد للممارسات الأمنية. يجب على المؤسسات أن تفكر بقوة في تثقيف قسم التكنولوجيا بأكمله حول الأمن.

تعتبر هذه التحديات صعبة على أي منظمة أن تحلها، وتتطلب الاستثمار في الوقت والتعليم والأدوات والتغيير الثقافي.

 ومع ذلك، مع سنوات عديدة من الاستثمار في مبادئ DevOps لمعظم المؤسسات، فإن هذه التحديات ليست جديدة.

دمج الأمان في إدارة دورة حياة التطبيق الخاص بك

كما يوضح الشكل 1، يمكن لكل مجال من مجالات ممارسة DevOps في المؤسسة دمج الأمان في التصميم الحالي والنشر والأدوات والممارسات التشغيلية من خلال البدء بثلاثة أشياء: عقلية التحول اليساري، والأمن حسب التصميم، وهندسة الثقة الصفرية. 

  • عقلية التحول إلى اليسار: فكر في المشكلات الأمنية وحددها في وقت مبكر من عملية تطوير البرمجيات، بناءً على مبدأ مفاده أنه كلما تم تحديد الثغرة الأمنية بشكل أسرع، كلما كان علاجها أرخص.
  • الأمان حسب التصميم: اعتمد على ممارسة التحول إلى اليسار من خلال التأكد من أن ميزات الأمان مضمنة في التطبيق أو الخدمة في مرحلة التصميم، بدلاً من تثبيتها لاحقًا.
  • بنية الثقة المعدومة: تفترض أن المتسللين يمكنهم الوصول إلى جميع أجزاء الشبكة (الداخلية والخارجية) ووضع آليات لإحباط هذا التطفل، مثل تشفير البيانات، وضوابط الوصول القائمة على الهوية والحد الأدنى من التعرض للخدمة.

1. كيفية تطبيق الأمن السيبراني عبر المنتجات وخطوط الأنابيب والهدف

تعد جميع هذه المفاهيم أمرًا صحيًا جدًا بالنسبة للمؤسسة لتبنيها، ولكن لمواكبة متطلبات إصدارات البرامج السريعة والبنية التحتية المعقدة بشكل متزايد، من الضروري الاستثمار بشكل كبير في الأدوات الأمنية والأتمتة. 

في حين أن الاستثمار في الأدوات والأتمتة يجب أن يحدث خلال جميع مراحل دورة حياة تطوير البرمجيات، فكلما استثمرنا في الأدوات الأقرب إلى المطور (التحول إلى اليسار)، زادت القيمة التي نراها في تقليل المخاطر وزيادة سرعة التسليم. 

باختصار، إن دعم المطورين لديك بالوسائل اللازمة لتحديد المخاطر الأمنية في وقت مبكر من العملية يعني دعم عائد الاستثمار على المدى الطويل لمؤسستك.

المصدر: pluralsight

قد يهمك:

إنشاء حساب خمسات

فتح محفظة بينانس

موقع البحث

إنشاء حساب مستقل | تسجيل الدخول

إنشاء حساب نون

إنشاء حساب إدراك

إنشاء حساب Biteable

© حقوق النشر 2023، جميع الحقوق محفوظة

يتم التشغيل بواسطة سيو ماستر لإدارة المواقع الإلكترونية.

أنت تستخدم إضافة Adblock

يعتمد موقع انشاء على الاعلانات كمصدر لدعم الموقع، يجب عليك ايقاف تشغيل حاجب الاعلانات لمشاهدة المحتوي