كيف نحافظ على اختبار الأمان في دورة حياة تطوير البرمجيات
TL؛ DR لقد تم دائمًا اتباع دورة حياة تطوير البرامج (SDLC) باختبار وظيفي لضمان احتواء حلول البرامج على جميع الميزات والوظائف الضرورية.
بسبب العدد المتزايد للهجمات الإلكترونية، اضطر أصحاب المصلحة في تطوير البرمجيات إلى تنفيذ اختبار الأمان باعتباره المسار الرئيسي في SDLC لمنع الثغرات والعيوب في التطبيقات أو البرامج (الأصول).
يفحص تقييم أمان البرنامج نقاط الضعف بهدف منع الجهات السيئة من استغلال نقاط الضعف هذه. وهو لا ينطبق فقط على مرحلة واحدة – إنه أمان إضافي في كل مرحلة من مراحل تطوير البرامج (التصميم والتطوير والنشر والصيانة) وأثناء تسليم المنتج.
SDLC في Spotify
من منظور أمان التطبيق في Spotify ، نأخذ في الاعتبار العقلية والإجراءات والحلول المعتمدة داخل مؤسستنا وفي دورة حياة تطوير البرامج لحماية التطبيقات التي ننشئها ونستخدمها.
إذن ما الذي نفعله لتأمين SDLC؟ يتميز برنامج أمان تطبيق Spotify بالعديد من الأدوات التي تفحص التطبيقات والإبلاغ عن نقاط الضعف. نسميها الضوابط التفاعلية. أحد عناصر التحكم التفاعلية هو Snyk.
يتم تتبع دورة حياة الثغرات الأمنية داخل منصة إدارة الثغرات، مما يوفر وسيلة لمالكي الأصول وفرق التشغيل لمعالجة نقاط الضعف وإدارة المخاطر وفقًا لسياسات إدارة الثغرات الأمنية الداخلية، وتحسين الأمان.
من خلال جهود الأتمتة، يمكننا الحفاظ على سلامة وتحديث برامجنا وأصولنا ومكوناتنا، مما يوفر طبقة إضافية من القوة في برنامج الأمان. وقد سمح لنا ذلك بالتوسع بسرعة أكبر وأمان. نظرًا لأننا نستهلك كميات كبيرة من البرامج، مثل المكتبات والخدمات، التطبيقات والبنية التحتية – يمكن أن يتعرض كل منهما لهجمات سلسلة التوريد – نريد أن نتأكد من أنه يمكننا الوثوق بمصدر البرنامج، وبالتالي، نبقى مورد برامج لن يقدم برامج ضارة لعملائنا.
هذا هو الهدف الرئيسي لمبادرة سلسلة التوريد الآمنة – لمنع الهجمات التي يمكن أن تستهدف أي مرحلة من مراحل دورة حياة تطوير البرامج.
نحن نركز على مجالين رئيسيين عند التفكير في اختبار الأمان في SDLC:
- تغطي مجموعة واسعة من اللغات ومديري الحزم في Spotify.
- وجود حل مرن بدرجة كافية للاندماج في CI / CD الحالي.
لمعالجة هذه المجالات، قمنا بدمج Snyk في خط أنابيب البناء الخاص بـ Spotify ، مما يمنحنا القدرة على البحث عن نقاط الضعف في بنيات المراجعة.
لقد بدأنا ذلك على مراحل، مع إعطاء الأولوية للخدمات والخدمات المحيطية مع الوصول إلى البيانات الحساسة.
كانت هذه الأداة تدعم بالفعل كل اللغات ومدير الحزم تقريبًا الذي أردنا دعمه، وكان لدى فريق Snyk خطط لتقديم الدعم إلى المجالات الأخرى التي تهمنا.
كيف تبدو من منظور المطور
يوجد في Spotify آلاف المهندسين، لذلك كنا حريصين جدًا عند تنفيذ أتمتة اختبار الأمان، مع مراعاة احتياجات المطورين وإفساح المجال للمطورين للتركيز على أولوياتهم الخاصة.
بالنسبة لبعض اللغات والأطر، قمنا تلقائيًا بتضمين فحص الثغرات الأمنية في خطوط أنابيب CI / CD، لذلك كان الاعتماد سلسًا ولم يتطلب أي إجراء من المطورين.
بالنسبة للغات وأطر العمل الأخرى التي لا تغطيها العملية التلقائية، فقد قدمنا دليلًا بسيطًا للمطورين لتمكين عمليات مسح Snyk كخطوة بناء لتطبيقهم. الآن يستمر عدد المشاريع الممسوحة ضوئيًا في الزيادة.
مستقبل SDLC الآمن في Spotify
تتطور نواقل الهجوم بالسرعة التي تتطور بها صناعة البرمجيات، ومن المهم توفير نهج شامل لتأمين تطوير البرمجيات. تتمثل إحدى الطرق في إنشاء إصلاحات تلقائيًا ودمجها دون أي تدخل من فرق الهندسة أو الأمن.
بالإضافة إلى ذلك، نحن قادرون على تتبع دورة حياة الثغرات الأمنية باستخدام واجهات برمجة التطبيقات المختلفة التي يوفرها Snyk ودمج تلك البيانات في نظامنا الأساسي لإدارة الثغرات الأمنية.
تشمل الأساليب الأخرى تحليل الكود المصدري، والترقية على مستوى الأسطول من خلال الأتمتة، وإدارة سلسلة التوريد لمنع الثغرات الأمنية من خلال التركيز على الأمن في كل مرحلة من مراحل التطوير.
شعارنا داخل فريق الأمان في Spotify هو الاستمرار في المخاطرة بمسؤولية.
مجد لفريق الأتمتة والأدوات للمساهمة القوية والقيمة لتأمين تطوير البرامج في Spotify.
المصدر: engineering
قد يهمك:
