كيف يمكن لـ shift left security و DevSecOps حماية سلسلة توريد البرامج
لا ينبغي أن يكون الأمن فكرة متأخرة. يعد إصدار التعليمات البرمجية المليئة بالمآثر والأخطاء وصفة لكارثة
. هذا هو السبب في أن المزيد والمزيد من المؤسسات تتطلع إلى تحويل الأمان إلى اليسار – لمعالجة الثغرات الأمنية والاستغلال طوال دورة حياة التطوير بأكملها بدلاً من نهايتها.
على سبيل المثال، في استطلاع GitLab ، قال 57٪ من أعضاء الفريق الأمني إن مؤسساتهم إما غيرت الأمن إلى اليسار أو تخطط لهذا العام.
حاول الكثيرون تنفيذ هذا النهج من خلال DevSecOps ، حيث تمارس 42٪ من الفرق عمليات DevSecOps، وهو نهج يدمج عمليات فرق عمليات وأمن التطوير طوال دورة حياة التطوير.
في جوهره، ينطوي التحول إلى اليسار على نقل اختبار الأمان من أواخر دورة حياة تطوير البرامج (SDLC) إلى وقت مبكر خلال مرحلة التصميم والتطوير.
يكتسب هذا قوة جذب لأن المطورين يقومون بأتمتة اختبارات الأمان ودمجها في أدوات التطوير وخطوط أنابيب CI / CD للحصول على منتجات آمنة في السوق بشكل أسرع.
التفويض بالتطوير المستمر
من أكبر التحديات التي تواجه الفرق الحديثة هي الحاجة إلى التطوير المستمر للتطبيقات والخدمات.
تظهر الأبحاث أن 31.3٪ من المطورين يطلقون مرة واحدة في الأسبوع إلى مرة واحدة في الشهر، بينما يصدر 27.3٪ كل شهر إلى ستة أشهر، و10.8٪ يطلقون عدة مرات في اليوم.
يعني الطلب على التطوير المستمر أن الأمان غالبًا ما يتم نسيانه بدلاً من الالتزام بالمواعيد النهائية، مما يؤدي إلى شحن التطبيقات مع وجود نقاط ضعف.
على سبيل المثال، وجدت إحدى الدراسات أن 74٪ من الشركات تقوم بشكل متكرر أو روتيني بإصدار برامج بها نقاط ضعف لم تتم معالجتها.
تساعد مناهج Shift left في معالجة هذه التحديات من خلال تضمين الأمان في وقت مبكر من عملية التطوير لمعالجة الثغرات الأمنية عند ظهورها في التعليمات البرمجية، قبل أن تتاح لها فرصة التأثير على المستخدمين النهائيين.
قال آرون أوه، مدير إدارة المخاطر والاستشارات المالية في DevSecOps في Deloitte: “لقد ساعدت Shift left في السرعة، لأنه عندما يتم تضمين الأمان من البداية، يمكن للمطورين معالجة الأخطاء الأمنية بشكل استباقي من البداية، مما يقلل من نقاط الضعف ويساعد في نهاية المطاف على زيادة سرعة الأعمال إلى السوق بمرور الوقت”.
قال أوه، “في نفس السياق، من خلال المعالجة الاستباقية للأخطاء الأمنية، لا تتطلب الإصلاحات إعادة التصميم وإعادة الهندسة، مما يؤدي إلى خفض التكلفة”.
قبل وبعد
ربما تكون أكبر ميزة لأمن التحول إلى اليسار هي أنه يلغي حاجة المطورين إلى تشغيل التحكم في الضرر على نقاط الضعف بعد الإصدار، مما يقلل من تعرض المستخدمين النهائيين للجهات الفاعلة في التهديد.
قالت جانيت ورثينجتون، المحللة في شركة Forrester: “في النموذج القديم، حيث تم إجراء اختبارات الأمان على اليمين الأول قبل الموعد المقرر لإصدار المنتج، تم تحديد نتيجة حتمية عالية أو حاسمة من شأنها إلغاء إصدار المنتج – أو ما هو أسوأ من ذلك، يتم إصدار المنتج برمز ضعيف يعرض المؤسسة وعملائها للخطر”.
من خلال تنفيذ نهج أسلوب DevSecOps، يمكن للمؤسسة تجنب الحاجة إلى إنشاء تذاكر وتصحيحات لخلل ما أو استغلاله بعد إصدار التطبيق.
قال ورثينجتون: “إن استخدام منهجية التحول إلى اليسار يمنع المشكلات الأمنية الجديدة من الانكماش في جبل الديون التقنية المتزايد باستمرار”.
“يمكن للمطورين إصلاح مشكلات الأمان قبل دمج الكود في الفرع الرئيسي، ولا يدخل الرمز غير الآمن أبدًا في التطبيق ولا توجد بطاقة أمان لفتحها.”
يلاحظ ورثينجتون أن تبديل الخدمات اليسرى يقلل من التنقل بين فرق الأمن والتطوير.
تتيح أتمتة اختبارات الأمان عبر SDLC للمطورين إنشاء ملاحظات في الوقت الفعلي حول مشكلات الأمان في سياق التعليمات البرمجية الخاصة بهم، جنبًا إلى جنب مع تفاصيل حول نقاط الضعف وكيفية معالجتها دون مناقشة بين الأمان والتطوير.
كيف يؤدي إصلاح الثغرات في وقت سابق إلى زيادة فعالية التكلفة
في عالم تطوير البرمجيات، الوقت هو المال.
قال Sashank Purighalla، المؤسس والرئيس التنفيذي في BOS Framework، إن Shift left security “أصبح مهمًا بشكل متزايد لمدراء أمن المعلومات وقادة الأمن لأنه يسمح لهم بتحديد ومعالجة الثغرات الأمنية المحتملة في وقت مبكر من عملية التطوير، عندما يكون إصلاحها أسهل وأقل تكلفة”.
وكلما أسرع المطور في تحديد ثغرة أمنية في أحد التطبيقات، كلما تمكن من إصلاحها سريعًا قبل أن يتسبب في تأثير تشغيلي، والذي ليس له فائدة مالية فحسب، بل يزيد من الأمان ككل.
قال Purighalla: “يمكن أن يساعد تغيير الأمان إلى اليسار المؤسسات على بناء برامج أكثر أمانًا من خلال دمج أفضل الممارسات الأمنية والاختبار في عملية التطوير، بدلاً من الاعتماد فقط على التدابير التفاعلية مثل اختبار الاختراق أو الاستجابة للحوادث “.
بالإضافة إلى ذلك، “التحول إلى اليسار يقلل من عمليات التطوير التي تدخل في إصلاح الثغرات الأمنية النظامية بأثر رجعي والتي تم العثور عليها من خلال تحليل الثغرات وبالتالي تقليل تكلفة إنشاء برمجيات آمنة / القيام بذلك بشكل صحيح في المرة الأولى” المحزن Purighalla.
عند التفكير في أن متوسط الوقت اللازم لإصلاح ثغرة خطيرة هو 60 يومًا داخل المؤسسة، فإن معالجة الثغرات الأمنية أثناء التطوير تكون أكثر كفاءة من انتظار إصلاحها بعد الإصدار.
من التحول من اليسار إلى التحول في كل مكان
نظرًا لأن المزيد من المؤسسات تتطلع إلى التحول إلى اليسار، فإنها تتخذ نهجًا أوسع وتبدأ في التحول في كل مكان، وإجراء اختبارات الأمان في جميع أنحاء SDLC بالكامل، من اليسار إلى اليمين، من الترميز الأولي إلى الإنتاج.
قال إرني بيو، العضو المنتدب في شركة Forgepoint Capital : “من التحول إلى حركة اليسار، شهدنا أيضًا تحركًا نحو التحول في كل مكان”.
“يدور هذا المفهوم حول إجراء اختبار أمان التطبيق الصحيح بأسرع ما يمكن في دورة تطوير البرامج، سواء كان ذلك في التعليمات البرمجية أو واجهات برمجة التطبيقات أو التطبيقات المعبأة في حاويات أو نقاط أخرى.”
تجدر الإشارة إلى أن الأتمتة تلعب دورًا مهمًا في جعل اختبار الأمان ممكنًا وقابلًا للتطوير في جميع أنحاء SDLC.
قال Bio: “من الأمثلة الرائعة على ذلك NowSecure، وهي شركة تساعد مطوري الأجهزة المحمولة على اختبار التعليمات البرمجية عبر نظام أساسي سحابي آلي وقابل للتطوير بدرجة كبيرة يتكامل مع عملية CI / CD الخاصة بالمؤسسة”. “
مع تحول الشركات إلى اليسار واعتمادها بشكل متزايد على موردي الطرف الثالث، فإن ضمان سلامة هذه العمليات وأمانها سيكون أمرًا مهمًا للغاية لقادة الأمن.”
في الأساس، يعتبر التحول في كل مكان هو الاعتراف بأن المطورين لا يمكنهم ترك البرامج في البرية بمجرد إصدارها، ولكن يجب أن يكون لديهم عملية لإصلاح وصيانة البرامج المتاحة للجمهور لتأمين سلسلة توريد البرامج والحفاظ على تجربة المستخدم.
المصدر: venturebeat
شاهد المزيد:
