“Beveiliging naar links verplaatsen” verwijst naar een softwareontwikkelingsmodel dat vanaf het begin volledig rekening houdt met beveiliging. Tot voor kort kwam beveiliging vaak aan het einde van het proces in de vorm van een go-live audit. Dit belemmert het inzicht in uw algehele beveiligingshouding, waardoor dreigingen ongemerkt kunnen glippen.
Het concept van naar links verschuiven is een essentieel onderdeel van DevSecOps, de DevOps-uitbreiding die beveiliging als een eersteklas onderdeel beschouwt. Het probeert de kloof tussen ontwikkelaars, operationele teams en beveiligingsexperts aan te pakken, en moedigt alle belanghebbenden aan om dagelijks na te denken over het grotere beveiligingsbeeld.
Ontwerpen voor beveiliging
Als u in het begin rekening houdt met beveiliging, is de kans groter dat u een waterdicht systeem krijgt. Als u het aan het einde overlaat aan een toegewijd team, vergroot u de kans dat u problemen over het hoofd ziet die diep in de codepaden verborgen liggen.
De verschuiving van beveiliging naar links erkent het belang ervan en maakt meer individuen verantwoordelijk voor de implementatie ervan. Ontwikkelaars moeten zich bewust zijn van de overkoepelende beveiligingsimplicaties van hun code, zonder te vertrouwen op de audits van een speciaal team. Dat wil niet zeggen dat een apart team volledig overbodig is: een pre-launch review is nog steeds een goed idee, maar het zou minder tijdrovend moeten zijn als de beveiliging al vanaf het begin is ingebakken.
De gewijzigde aanpak helpt bij het bevorderen van een productieve DevOps-cultuur. De samenwerking tussen teams wordt verbeterd door ontwikkeling en beveiliging parallel te bespreken, in plaats van door een starre lineaire stroom te gaan.
Advertentie
Ontwikkelaars moeten zich bewust zijn van de beveiligingscontext op app- en organisatieniveau waarbinnen hun code zal werken. Sommige beveiligingsmaatregelen, zoals robuuste wachtwoordversleuteling en sleutelverificatie, zijn al de facto standaard; andere, zoals het actief scannen van kwetsbaarheden en het controleren van diepgaande gebeurtenissen, verschillen aanzienlijk tussen organisaties. Ze kunnen worden weggelaten door nieuwere ontwikkelaars die niet bekend zijn met de beveiligingsnormen van het project.
Beveiligingsmedewerkers moeten ook het perspectief van het ontwikkelteam begrijpen. Het implementeren van de strengste beveiligingsmaatregelen kan codecomplexiteit toevoegen, waardoor de projecttijdlijn wordt verlengd. Dit raakt projectmanagementteams en zakelijke belanghebbenden, die beide ook profiteren van een beter inzicht in de beveiligingsstatus van de app.
Naast uw softwarecomponenten, moet u ook kijken naar uw netwerkstack en eventuele fysieke apparaten in uw infrastructuur. Met name IoT-producten kunnen unieke zwakheden vertonen die aanvallers voet aan de grond geven in uw systeem. Mensen die toezicht houden op deze systemen moeten ook op de hoogte worden gesteld van uw beveiligingsrichtlijnen.
Hoe naar links te schakelen?
Links schakelen is’ ;t iets dat 's nachts gebeurt. Een effectieve verschuiving is afhankelijk van een mentaliteitsverandering in de hele organisatie. Je zou een middag kunnen besteden aan het bespreken van beveiliging in een stand-up, maar tenzij er veranderingen worden doorgevoerd, getest en herhaald, ben je niet beter af dan in de ochtend.
Allereerst is het belangrijk om de fundamentele beveiligingsvereisten voor uw systeem te definiëren. Een duidelijk gedocumenteerde reeks technische fundamenten, procedurele routines en nalevingsbaselines brengt iedereen op dezelfde pagina, of ze nu afkomstig zijn van “dev,” “sec,” of “ops.” U kunt populaire community-standaarden zoals de OWASP-richtlijnen als uitgangspunt gebruiken.
Kijk vervolgens naar uw bestaande proces. Waar past veiligheid in? Als het je eerste poging is om de beveiliging naar links te verplaatsen, zul je merken dat de beveiliging een heel eind naar rechts zit. Analyseer uw proces om te bepalen waar beveiliging een rol kan spelen. In welke discussies moet beveiliging voorkomen?
Advertentie
Je wilt dit zo vroeg mogelijk doen, maar de exacte functie verschilt per organisatie. In een ideale wereld zal beveiliging worden overwogen zodra de functionaliteit van het project volledig is afgebakend, maar voordat een stevige technische architectuur is geselecteerd. Dit geeft u de flexibiliteit om beveiligingsbewuste keuzes te maken zonder dat u zich zorgen hoeft te maken dat u opnieuw moet beginnen wanneer de specificaties zijn bepaald.
Voordat de ontwikkeling begint, moet u iedereen een overzicht van het systeem geven& #8217;s beveiligingsmodel. Maak het de verantwoordelijkheid van de ontwikkeling om ervoor te zorgen dat technische normen worden geïmplementeerd, terwijl operationele teams ervoor zorgen dat de productieomgevingen voldoen aan uw overeengekomen baselines.
Tooling toevoegen
Tijdens en na de ontwikkeling moet code worden gecontroleerd, bevraagd en gescand om er zeker van te zijn dat deze daadwerkelijk werkt zoals bedoeld. Je hebt een manier nodig om code te verifiëren en infrastructuurcomponenten beschikken over de kwaliteiten die je hebt gespecificeerd.
Gelukkig zijn beveiligingstools in hetzelfde tempo geëvolueerd als de methodologieën die het helpt faciliteren. Met geautomatiseerde kwetsbaarheidsscans kunnen ontwikkelaars controleren of code veilig is zonder de tijd die ze besteden aan het schrijven ervan te vergroten. Evenzo helpt het scannen van afhankelijkheden van derden die in projecten worden gebruikt, bij de verdediging tegen de toenemende stroom van aanvallen op de toeleveringsketen.
U kunt de nieuwe generatie API-fuzztesttools gebruiken om beveiligingsscans van uw live-eindpunten uit te voeren. Deze kunnen helpen bij het ontdekken van problemen die zich alleen in specifieke scenario's voordoen, waardoor de dekking van uw beveiligingstests wordt verbeterd.
Een ander aspect van tooling betreft de dagelijkse ontwikkelaarservaring. Het gebruik van in-editor linters en plug-ins biedt directe regel voor regel feedback, waarbij problemen worden gemarkeerd zodra ze de code invoeren. Een effectieve beoordelings- en samenvoegstrategie garandeert dat er meerdere ogen op elke wijziging gericht zijn.
Advertentie
Automatiseer zoveel mogelijk van uw controles. Dit beperkt tijdverlies en helpt teamleden aan boord te houden. Complexiteit aan het proces toevoegen kan tot frustratie leiden, waardoor ontwikkelaars uiteindelijk moeten zoeken naar manieren om de veiligheidscontroles te omzeilen.
De voordelen van Shifting Left
De voordelen van Shifting Left
h2>
Organisaties die met succes naar links schuiven, profiteren van een verbeterde beveiligingshouding die in de loop van de tijd beter te onderhouden is. Het resulteert in een veiligheidsbewuste cultuur waarin iedereen de bedieningselementen van het systeem begrijpt en begrijpt waarom ze aanwezig zijn.
Het naar links verschuiven van beveiliging kan ook de codekwaliteit verbeteren en leiden tot geavanceerdere architecturale ontwerpen. Door beveiliging vanaf het begin in te bouwen, kunnen alternatieve strategieën worden ontdekt die bredere problemen oplossen dan alleen beveiliging. Het bevordert ook moderne ontwikkelingspraktijken door het gebruik van geautomatiseerde tooling aan te moedigen.
Het model kan ook de druk op de releasedag verlichten. Er is geen gekke worsteling om oplossingen te controleren voordat ze live gaan, omdat ze tijdens het ontwikkelingsproces voortdurend zijn beoordeeld. Als u problemen eerder opmerkt, zijn ze meestal gemakkelijker en goedkoper op te lossen. Als er tijdens de ontwikkeling een beveiligingsprobleem wordt gevonden, kan dit veilig worden opgelost zonder enige impact op klantgegevens.
Samenvatting
“Links schakelen” verwijst naar het verheffen van de positie van beveiliging in de levenscyclus van softwareontwikkeling tot een prioriteit en voortdurende verwijzing. Het daagt de perceptie uit dat beveiliging vaak een bijzaak is, die haastig wordt beoordeeld vlak voordat een nieuw systeem wordt gelanceerd.
Het aanpakken van beveiliging op de eerste dag geeft je meer gemoedsrust, meer samenwerking tussen teamleden en eerder ontdekking van problemen. U zult niet laat op de dag op zoek gaan naar beveiligingsproblemen, aangezien deze tijdens de planning, ontwikkeling of codebeoordeling naar voren komen. Dit helpt releases soepel en veilig te laten verlopen.
Advertentie
Het verplaatsen van beveiliging naar links past goed bij andere moderne concepten zoals cloud-native methodologieën en DevOps-procedures. Ze helpen je allemaal om veerkrachtiger software te maken in een korter tijdsbestek zonder afbreuk te doen aan de ontwikkelaarservaring. Nu het aantal cyberaanvallen toeneemt, kunt u de tijd nemen om beveiliging beter in uw ontwikkelingsproces te integreren, zodat u uw gegevens en uw klanten kunt beschermen tegen nieuwe bedreigingen.