“ Skift vänster säkerhet ” hänvisar till en mjukvaruutvecklingsmodell som helt beaktar säkerheten från början. Fram till nyligen tenderade säkerheten att komma i slutet av processen i form av en live-revision. Detta försvårar synligheten i din övergripande säkerhetsställning, så att hot kan glida förbi obemärkt.
Begreppet att flytta vänster är en viktig del av DevSecOps, DevOps-expansionen som ser på säkerheten som en förstklassig komponent. Den försöker ta itu med kopplingen mellan utvecklare, driftsteam och säkerhetsexperter och uppmuntrar alla intressenter att dagligen tänka på den större säkerhetsbilden.
Design för säkerhet
Om du tänker på säkerheten i början blir det mer troligt att du kommer att få ett vattentätt system. Om du lämnar det till ett dedikerat team i slutet ökar sannolikheten att du kommer att förbise problem som ligger djupt inne i kodvägarna.
Att flytta säkerheten åt vänster erkänner dess betydelse och gör fler individer ansvariga för dess genomförande. Utvecklare bör vara medvetna om de övergripande säkerhetsimplikationerna av deras kod, utan att förlita sig på ett dedikerat teams revisioner. Det är inte att säga att ett separat team är helt överflödigt: en granskning före lansering är fortfarande en bra idé, men det borde vara mindre tidskrävande om säkerheten redan bakats in från början.
Det förändrade tillvägagångssättet hjälper till att främja en produktiv DevOps -kultur. Samarbetet mellan team förstärks genom att diskutera utveckling och säkerhet parallellt istället för att gå igenom ett styvt linjärt flöde.
Annonsering
Utvecklare måste ha medvetenhet om appen och säkerhetskontext på organisationsnivå som deras kod fungerar inom. Vissa säkerhetsåtgärder, såsom robust lösenordskryptering och nyckelverifiering, är redan de facto standardvärden; andra gillar aktiv sårbarhetsskanning och genomgripande händelsegranskning varierar betydligt mellan organisationer. De kan utelämnas av nyare utvecklare som inte känner till projektets säkerhetsstandarder.
Säkerhetsarbetare måste också förstå utvecklingsteamets perspektiv. Genomförandet av de strängaste säkerhetsåtgärderna kan lägga till kodkomplexitet, vilket ökar projektets tidslinje. Detta berör projektledningsgrupper och affärsintressenter, som båda också drar nytta av bättre insyn i appens säkerhetsställning.
Utöver dina programvarukomponenter måste du också titta på din nätverksstack och eventuella fysiska enheter i din infrastruktur. Särskilt IoT -produkter kan presentera unika svagheter som ger angripare fotfäste i ditt system. Personer som övervakar dessa system måste också informeras om dina säkerhetsbaslinjer.
Hur man skiftar vänster?
Växling åt vänster är inte ’ ; t något som händer över en natt. Ett effektivt skift är beroende av en tankesättsförändring i organisationen. Du kan tillbringa en eftermiddag med att diskutera säkerhet i en all-stand-up, men om inte ändringar antas, testas och itereras, mår du inte bättre än du var på morgonen.
Först och främst är det viktigt att definiera de grundläggande säkerhetskraven för ditt system. En tydligt dokumenterad uppsättning tekniska grunder, procedurrutiner och grundlinjer för efterlevnad får alla på samma sida, oavsett om de kommer från “ dev, ” “ sek, ” eller “ ops. ” Du kan använda populära gemenskapsstandarder som OWASP -riktlinjerna som utgångspunkt.
Titta sedan på din befintliga process. Var passar säkerheten in? Om det är ditt första försök att flytta säkerheten åt vänster, kan det hända att säkerheten sitter långt till höger. Analysera din process för att identifiera var säkerheten kan hamna. Vilka diskussioner ska säkerheten visas i?
Annonsering
Du vill att detta ska vara så tidigt som möjligt men den exakta positionen varierar beroende på organisation. I en idealisk värld kommer säkerheten att övervägas när projektets funktionalitet är fullt omfattande men innan en fast teknisk arkitektur har valts. Detta ger dig flexibiliteten att göra säkerhetsmedvetna val utan att oroa dig. Du måste börja om när specifikationerna bestämmer sig.
Innan utvecklingen startar, ge alla en översikt över systemet och #8217; s säkerhetsmodell. Gör det till utvecklingsansvaret att se att tekniska standarder implementeras medan driftsteam säkerställer att produktionsmiljöer följer dina överenskomna grundlinjer.
Lägg till verktyg
Under och efter utvecklingen bör koden granskas, ifrågasättas och skannas för att säkerställa att den faktiskt fungerar som avsett. Du behöver ett sätt att verifiera kod och infrastrukturkomponenter har de egenskaper du har angett.
Lyckligtvis har säkerhetsverktyg rört sig i samma takt som de metoder som det hjälper till att underlätta. Med automatisk sårbarhetsskanning kan utvecklare verifiera att koden är säker utan att öka tiden de lägger ner på att skriva den. På samma sätt hjälper skanning av tredjepartsberoenden som används i projekt att försvara sig mot den stigande strömmen av attackkedjeangrepp.
Du kan använda den nya rasen av API-fuzz-testverktyg för att utföra säkerhetsskanningar av dina levande slutpunkter. Dessa kan hjälpa till att avslöja problem som bara visas i specifika scenarier och förbättra din säkerhetstestning.
En annan aspekt av verktyg är den dagliga utvecklarupplevelsen. Genom att använda in-editor linters och plugins ger omedelbar rad-för-rad-feedback, flagga problem när de anger koden. En effektiv gransknings- och sammanfogningsstrategi garanterar att det finns flera ögon på varje förändring.
Annonsering
Automatisera så många av dina kontroller som möjligt. Detta minskar tidsförluster och hjälper till att hålla teammedlemmarna ombord. Att lägga till komplexitet i processen kan leda till frustration och så småningom få utvecklare att leta efter sätt att kringgå säkerhetskontrollerna.
Fördelarna med att flytta vänster
Organisationer som lyckas flytta vänster drar nytta av en förbättrad säkerhetsställning som är mer underhållbar över tid. Det resulterar i en säkerhetsmedveten kultur där alla förstår systemets kontroller och varför de är närvarande.
Att flytta säkerheten åt vänster kan också förbättra kodkvaliteten och leda till mer avancerade arkitektoniska mönster. Att baka in säkerhet från början kan avslöja alternativa strategier som löser bredare problem än säkerhet ensam. Det främjar också moderna utvecklingsmetoder genom att uppmuntra användningen av automatiserade verktyg.
Modellen kan också minska trycket på släppdagarna. Det finns ingen tokig strid med granskningslösningar innan de går live, eftersom de kommer att ha utvärderats kontinuerligt under hela utvecklingsprocessen. Att hitta problem tidigare tenderar att göra dem enklare och billigare att åtgärda. Om ett säkerhetsproblem upptäcks under utveckling kan det lösas säkert utan att det påverkar kunddata.
Sammanfattning
“ Växla vänster ” avser att höja säkerhetspositionen i mjukvaruutvecklingens livscykel till en prioriterad och kontinuerlig referens. Det utmanar uppfattningen att säkerhet ofta är en eftertanke, snabbt bedömd innan ett nytt system startas.
Att hantera säkerheten på dag ett ger dig större sinnesro, mer samarbete mellan teammedlemmar och tidigare upptäckt av problem. Du kommer inte att jaga säkerhetsproblem sent på dagen, eftersom de kommer att dyka upp under planering, utveckling eller kodgranskning. Detta hjälper till att släppa flödet smidigt och säkert.
Annonsering
Flyttande säkerhet till vänster passar bra ihop med andra moderna koncept som molnbaserade metoder och DevOps-förfaranden. Alla hjälper dig att skapa mer motståndskraftig programvara på kortare tid utan att kompromissa med utvecklarupplevelsen. Med cyberattacker på väg att ta dig tid att bättre integrera säkerhet i din utvecklingsprocess hjälper dig att försvara dina data och dina kunder mot nya hot.