“Sicherheitstaste nach links verschieben” bezieht sich auf ein Softwareentwicklungsmodell, das Sicherheit von Anfang an vollständig berücksichtigt. Bis vor kurzem stand die Sicherheit eher am Ende des Prozesses in Form eines Go-Live-Audits. Dies behindert den Einblick in Ihre allgemeine Sicherheitslage und lässt Bedrohungen unbemerkt durch.
Das Konzept der Linksverschiebung ist ein wesentlicher Bestandteil von DevSecOps, der DevOps-Erweiterung, die Sicherheit als erstklassige Komponente betrachtet. Es versucht, die Kluft zwischen Entwicklern, Betriebsteams und Sicherheitsexperten zu überwinden, und ermutigt alle Beteiligten, täglich über das Gesamtbild der Sicherheit nachzudenken.
Designing for Security
Wenn Sie die Sicherheit am Anfang berücksichtigen, ist es wahrscheinlicher, dass Sie am Ende ein wasserdichtes System haben. Wenn Sie es am Ende einem dedizierten Team überlassen, erhöht sich die Wahrscheinlichkeit, dass Sie Probleme übersehen, die tief in den Codepfaden vergraben sind.
Die Verlagerung der Sicherheit nach links erkennt ihre Bedeutung richtig an und macht mehr Personen für ihre Umsetzung verantwortlich. Entwickler sollten sich der übergreifenden Sicherheitsauswirkungen ihres Codes bewusst sein, ohne sich auf die Audits eines dedizierten Teams verlassen zu müssen. Das soll nicht heißen, dass ein separates Team völlig überflüssig ist: Eine Überprüfung vor dem Start ist immer noch eine gute Idee, sollte aber weniger zeitaufwändig sein, wenn die Sicherheit bereits von Anfang an integriert ist.
Der geänderte Ansatz trägt zur Förderung einer produktiven DevOps-Kultur bei. Die Zusammenarbeit zwischen Teams wird verbessert, indem Entwicklung und Sicherheit parallel diskutiert werden, anstatt sich durch einen starren linearen Fluss zu bewegen.
Werbung
Entwickler müssen den Sicherheitskontext auf App- und Organisationsebene kennen, in dem ihr Code ausgeführt wird. Einige Sicherheitsmaßnahmen wie robuste Passwortverschlüsselung und Schlüsselüberprüfung sind bereits de facto Standard; andere wie das aktive Schwachstellen-Scannen und das umfassende Ereignis-Audit unterscheiden sich erheblich zwischen Unternehmen. Sie könnten von neueren Entwicklern, die mit den Sicherheitsstandards des Projekts nicht vertraut sind, weggelassen werden.
Sicherheitsmitarbeiter müssen auch die Perspektive des Entwicklungsteams verstehen. Die Implementierung der strengsten Sicherheitsmaßnahmen kann die Codekomplexität erhöhen und den Projektzeitplan verlängern. Dies betrifft Projektmanagementteams und Geschäftsbeteiligte, die beide auch von einem besseren Einblick in den Sicherheitsstatus der App profitieren.
Neben Ihren Softwarekomponenten müssen Sie sich auch Ihren Netzwerkstack und alle physischen Geräte in Ihrer Infrastruktur ansehen. Insbesondere IoT-Produkte können einzigartige Schwachstellen aufweisen, die Angreifern einen Zugang zu Ihrem System verschaffen. Personen, die diese Systeme beaufsichtigen, müssen auch über Ihre Sicherheitsgrundsätze informiert werden.
Wie kann man nach links verschieben?
Nach links verschieben ist nicht ’ ;t etwas, das über Nacht passiert. Ein effektiver Wandel hängt von einer Änderung der Denkweise im gesamten Unternehmen ab. Sie könnten einen Nachmittag damit verbringen, in einem Stand-up-Gespräch über Sicherheit zu diskutieren, aber wenn keine Änderungen umgesetzt, getestet und wiederholt werden, sind Sie nicht besser dran als am Morgen.
Zunächst ist es wichtig, die grundlegenden Sicherheitsanforderungen für Ihr System zu definieren. Ein klar dokumentierter Satz technischer Grundlagen, Verfahrensroutinen und Compliance-Baselines bringt alle auf den gleichen Stand, egal ob sie von “dev,” “Sek,” oder “Operationen” Sie können gängige Gemeinschaftsstandards wie die OWASP-Richtlinien als Ausgangspunkt verwenden.
Betrachten Sie als Nächstes Ihren bestehenden Prozess. Wo passt Sicherheit? Wenn es Ihr erster Versuch ist, die Sicherheit nach links zu verschieben, werden Sie möglicherweise feststellen, dass die Sicherheit weit rechts liegt. Analysieren Sie Ihren Prozess, um herauszufinden, wo die Sicherheit eingreifen könnte. In welchen Diskussionen sollte die Sicherheit erscheinen?
Werbung
Sie möchten, dass dies so früh wie möglich erfolgt, aber die genaue Position variiert je nach Organisation. In einer idealen Welt wird die Sicherheit berücksichtigt, sobald die Funktionalität des Projekts vollständig ausgeschöpft ist, aber bevor eine feste technische Architektur ausgewählt wurde. Dies gibt Ihnen die Flexibilität, sicherheitsbewusste Entscheidungen zu treffen, ohne sich Sorgen machen zu müssen, dass Sie erneut beginnen müssen, wenn die Spezifikation festgelegt ist.
Bevor die Entwicklung beginnt, geben Sie allen einen Überblick über das System& #8217;s Sicherheitsmodell. Überlassen Sie der Entwicklung die Verantwortung für die Implementierung technischer Standards, während die Betriebsteams sicherstellen, dass die Produktionsumgebungen Ihren vereinbarten Baselines entsprechen.
Hinzufügen von Werkzeugen
Während und nach der Entwicklung sollte Code geprüft, hinterfragt und gescannt werden, um sicherzustellen, dass er tatsächlich wie beabsichtigt funktioniert. Sie benötigen eine Möglichkeit, um zu überprüfen, ob Code- und Infrastrukturkomponenten die von Ihnen angegebenen Eigenschaften aufweisen.
Glücklicherweise haben sich die Sicherheitstools im gleichen Tempo entwickelt wie die Methoden, die sie erleichtern. Durch automatisierte Schwachstellen-Scans können Entwickler überprüfen, ob Code sicher ist, ohne den Zeitaufwand für das Schreiben zu erhöhen. In ähnlicher Weise hilft das Scannen von Abhängigkeiten von Drittanbietern, die in Projekten verwendet werden, gegen die zunehmende Flut von Angriffen auf die Lieferkette.
Sie können die neue Generation von API-Fuzz-Testtools verwenden, um Sicherheitsscans Ihrer Live-Endpunkte durchzuführen. Diese können helfen, Probleme aufzudecken, die nur in bestimmten Szenarien auftreten, und verbessern so die Abdeckung Ihrer Sicherheitstests.
Ein weiterer Aspekt des Tools betrifft die tägliche Entwicklererfahrung. Die Verwendung von Linters und Plugins im Editor bietet sofortiges zeilenweises Feedback und meldet Probleme, sobald sie den Code eingeben. Eine effektive Überprüfungs- und Zusammenführungsstrategie garantiert, dass jede Änderung mit mehreren Augen betrachtet wird.
Werbung
Automatisieren Sie so viele Ihrer Kontrollen wie möglich. Dies mindert Zeitverluste und trägt dazu bei, die Teammitglieder an Bord zu halten. Die Erhöhung der Komplexität des Prozesses könnte zu Frustration führen und Entwickler schließlich dazu veranlassen, nach Wegen zu suchen, um die Sicherheitsprüfungen zu umgehen.
Die Vorteile von Shifting Left
h2>
Organisationen, die erfolgreich nach links verlagern, profitieren von einem verbesserten Sicherheitsstatus, der im Laufe der Zeit besser wartbar ist. Dies führt zu einer sicherheitsbewussten Kultur, in der jeder die Kontrollen des Systems versteht und warum sie präsent sind.
Das Verschieben der Sicherheit nach links kann auch die Codequalität verbessern und zu fortschrittlicheren Architekturdesigns führen. Wenn Sie die Sicherheit von Anfang an einbeziehen, können Sie alternative Strategien aufdecken, die umfassendere Probleme lösen als die alleinige Sicherheit. Es fördert auch moderne Entwicklungspraktiken, indem es den Einsatz automatisierter Tools fördert.
Das Modell kann auch den Druck am Tag der Veröffentlichung verringern. Es gibt kein verrücktes Gerangel, Lösungen zu prüfen, bevor sie live gehen, da sie während des gesamten Entwicklungsprozesses kontinuierlich bewertet werden. Probleme früher zu finden, macht ihre Behebung in der Regel einfacher und kostengünstiger. Wenn in der Entwicklung ein Sicherheitsproblem gefunden wird, kann es ohne Auswirkungen auf Kundendaten sicher behoben werden.
Zusammenfassung
“Nach links verschieben” bezieht sich auf die Anhebung der Sicherheitsposition im Softwareentwicklungslebenszyklus zu einer Priorität und kontinuierlichen Referenz. Es stellt die Vorstellung in Frage, dass Sicherheit oft ein nachträglicher Gedanke ist, der kurz vor der Einführung eines neuen Systems hastig bewertet wird.
Die Sicherheit am ersten Tag in Angriff zu nehmen gibt Ihnen mehr Sicherheit, mehr Zusammenarbeit zwischen Teammitgliedern und früher Entdeckung von Problemen. Sie werden Sicherheitsproblemen nicht spät am Tag nachjagen, da diese während der Planung, Entwicklung oder Codeüberprüfung auftauchen. Dies trägt dazu bei, dass Releases reibungslos und sicher fließen.
Werbung
Das Verschieben der Sicherheit nach links passt gut zu anderen modernen Konzepten wie Cloud-nativen Methoden und DevOps-Verfahren. Sie alle helfen Ihnen, in kürzerer Zeit widerstandsfähigere Software zu erstellen, ohne Kompromisse bei der Entwicklererfahrung einzugehen. Angesichts der zunehmenden Cyberangriffe können Sie sich die Zeit nehmen, Sicherheit besser in Ihren Entwicklungsprozess zu integrieren, um Ihre Daten und Ihre Kunden vor aufkommenden Bedrohungen zu schützen.