Οι ομάδες Devops θυσιάζουν την εστίαση στα reviews των security gates για να τηρήσουν αυστηρές προθεσμίες αγοράς, εν μέσω αυξανόμενης πίεσης για παροχή ψηφιακού μετασχηματισμού και ψηφιακών εσόδων.
Τα σχέδια αποζημίωσης για τους CIO, τους ηγέτες του devops και τις ομάδες τους, δίνουν προτεραιότητα στις επιδόσεις time-to-market, αυξάνοντας την ένταση για να προλάβουν το πρόγραμμα. Τους τελευταίους 18 μήνες, το 90% των ηγετών πληροφορικής βλέπουν επίσης τις πρωτοβουλίες ψηφιακού μετασχηματισμού να επιταχύνονται καθώς οι επιχειρήσεις προσπαθούν να συμβαδίζουν με τις προτιμήσεις των πελατών τους για αγορά, λήψη υπηρεσιών και επανάληψη αγορών σε ψηφιακή βάση.
Μια τυπική ομάδα devops σε μια επιχείρηση 500 εκατομμυρίων δολαρίων έχει περισσότερα από 200 ταυτόχρονα έργα σε εξέλιξη, με πάνω από το 70% αφιερωμένο στη διαφύλαξη και τη βελτίωση των ψηφιακών εμπειριών των πελατών. Οι ομάδες Devops προσπαθούν να εξοικονομήσουν κάθε δευτερόλεπτο που μπορούν σε κάθε έργο, καθώς ένα μεγάλο ποσοστό της συνολικής τους αποζημίωσης είναι σε ρίσκο.
Η Boston Consulting Group (BCG) λέει ότι όσο πιο εντατική σε λογισμικά είναι μια επιχείρηση, τόσο πιο γρήγορη και αποτελεσματική πρέπει να είναι η παράδοση νέων προσφορών για τη δημιουργία ανταγωνιστικών πλεονεκτημάτων, καθιστώντας την κρίσιμη δυνατότητα για μακροπρόθεσμη επιβίωση. Οι ομάδες Devops που μπορούν να παραδώσουν ελάχιστα βιώσιμα προϊόντα (MVP) νωρίτερα από τον προγραμματισμό τους, συχνά ορίζουν τον ρυθμό για ένα ολόκληρο έργο.
Δείτε επίσης: Η Apple διορθώνει zero-day bug που επηρεάζει iPhone και Mac
Η VentureBeat ρώτησε την Janet Worthington, ανώτερη αναλύτρια της Forrester, εάν οι CISO και οι CIO συμμετέχουν περισσότερο στην εξασφάλιση του devops. Είπε ότι «ναι, οι CISO και οι CIO συνειδητοποιούν όλο και περισσότεροι ότι για να κινηθούν γρήγορα και να επιτύχουν επιχειρηματικούς στόχους, οι ομάδες πρέπει να αγκαλιάσουν μια ασφαλή κουλτούρα devops. Η ανάπτυξη ενός αυτοματοποιημένου development pipeline επιτρέπει στις ομάδες να αναπτύσσονται συχνά και με σιγουριά, επειδή οι δοκιμές ασφαλείας είναι ενσωματωμένες από τα πρώτα στάδια. Ως αποτέλεσμα, ένα ζήτημα ασφάλειας διαφεύγει στην παραγωγή, η ύπαρξη ενός επαναλαμβανόμενου pipeline επιτρέπει την επαναφορά του παραβατικού κώδικα χωρίς να επηρεάζονται άλλες λειτουργίες και το ζήτημα διορθώνεται γρήγορα».
Γιατί η ασφάλεια ανταλλάσσεται με την ταχύτητα
Με την αποζημίωση, τα ανταγωνιστικά πλεονεκτήματα και τη φήμη των εταιρικών ομάδων πληροφορικής και ανάπτυξης, είναι κατανοητό ότι η ασφάλεια ωθείται πίσω στο software development lifecycle (SDLC). Σε επιχειρήσεις που δεν δίνουν προτεραιότητα στην ασφάλεια ως βασικό μέρος της διαδικασίας SDLC, είναι σύνηθες να βρίσκουμε συστήματα ασφάλειας, δοκιμών και επικύρωσης απομονωμένα από devops core workflows.
Επειδή συχνά σπρώχνονται προς τις τελικές φάσεις ενός έργου, γίνονται βεβιασμένα. Αυτός είναι ένας από τους κύριους λόγους που οι επιχειρήσεις που υπέστησαν παραβίαση τους προηγούμενους 12 μήνες λένε ότι οι δύο κύριες μέθοδοι που χρησιμοποιούσαν οι κακοί παράγοντες ήταν ότι εκμεταλλεύονταν ευάλωτο λογισμικό και άμεσες επιθέσεις διαδικτυακών εφαρμογών.
Εφαρμογές Security testing που απομονώνονται από πλατφόρμες devops
Ένα παράδειγμα είναι ο τρόπος με τον οποίο οι ομάδες devops χρησιμοποιούν εργαλεία και συστήματα application security testing (AST) που δεν είναι ενσωματωμένα σε πλατφόρμες ή περιβάλλοντα ανάπτυξης. Το Security testing software έχει σχεδιαστεί για ανάλυση και ιχνηλασιμότητα. Οι εφαρμογές, οι πλατφόρμες και τα εργαλεία Devops έχουν σχεδιαστεί για ταχύτητα και διαφάνεια. Δυστυχώς, λίγοι μηχανικοί devops γνωρίζουν επίσης πώς να χρησιμοποιούν security testing software.
Οι κριτικές που βασίζονται σε gates επιβραδύνουν το devops
Οι ροές εργασίας Devops έχουν σχεδιαστεί για ταχύτητα και γρήγορη επανάληψη με τις πιο πρόσφατες απαιτήσεις και βελτιώσεις απόδοσης. Τα Gate reviews είναι στατικά. Τα εργαλεία στα οποία βασίζονται οι ομάδες για δοκιμές ασφαλείας μπορούν να οδηγήσουν σε εμπόδια, δεδομένου του σχεδιασμού τους που βασίζεται στο gate. Το Devops είναι μια συνεχής διαδικασία σε ομάδες IT υψηλής απόδοσης, ενώ τα stage gates επιβραδύνουν τον ρυθμό ανάπτυξης.
Δείτε επίσης: Το Montenegro παλεύει με μαζική κυβερνοεπίθεση
Οι ομάδες Devops δεν έχουν εκπαιδευτεί σε θέματα ασφάλειας
Οι ηγέτες Devops συχνά δεν έχουν το χρόνο να εκπαιδεύσουν τους προγραμματιστές τους ώστε να ενσωματώνουν την ασφάλεια από τις αρχικές φάσεις ενός έργου. Η πρόκληση είναι πόσο λίγοι προγραμματιστές είναι εκπαιδευμένοι σε τεχνικές ασφαλούς κωδικοποίησης. Η τελευταία έκθεση της Forrester για τη βελτίωση της ασφάλειας κώδικα από τις ομάδες devops εξέτασε τα κορυφαία 50 προπτυχιακά προγράμματα επιστήμης υπολογιστών στις ΗΠΑ, όπως κατατάχθηκε από το US News and World Report για το 2022, και διαπίστωσε ότι κανένα δεν απαιτεί ασφαλή κωδικοποίηση ή secure application design class.
Οι CIO και οι ομάδες τους γίνονται αδύναμοι με τις πολλές πρωτοβουλίες ψηφιακού μετασχηματισμού, την υποστήριξη για εικονικές ομάδες και τα συνεχιζόμενα έργα υποστήριξης υποδομής που πραγματοποιούν ταυτόχρονα. Οι CIO και οι CISO αντιμετωπίζουν επίσης τις προκλήσεις της διατήρησης των οργανισμών τους σε κανονιστική συμμόρφωση με πιο περίπλοκες απαιτήσεις ελέγχου και υποβολής audit. Τα πρόστιμα και οι πιθανές επιπτώσεις στη φήμη ενός οργανισμού τους αναγκάζουν να επικεντρωθούν πρώτα στη συμμόρφωση σε βάρος της ασφάλειας.
Η ασφάλεια πρέπει να είναι ο πυρήνας για την ανάπτυξη
Οι ομάδες devops υψηλής απόδοσης αναπτύσσουν κώδικα 208 φορές πιο συχνά από ό,τι οι ομάδες χαμηλών επιδόσεων. Η δημιουργία της βάσης για τις ομάδες devops για να το επιτύχουν αυτό πρέπει να ξεκινήσει συμπεριλαμβάνοντας ασφάλεια από τις αρχικές φάσεις σχεδιασμού οποιουδήποτε νέου έργου. Η ασφάλεια πρέπει να ορίζεται στις αρχικές προδιαγραφές του προϊόντος και σε κάθε κύκλο devops. Στόχος είναι η επαναληπτική βελτίωση της ασφάλειας ως κύριο μέρος οποιουδήποτε προϊόντος λογισμικού.
Με την ενσωμάτωση της ασφάλειας στο SDLC, οι CIO, οι CISO και οι ηγέτες τους κερδίζουν πολύτιμο χρόνο που θα είχαν ξοδέψει σε αναθεωρήσεις stage gate. Ο στόχος είναι να πείσουμε τους devops και τις ομάδες ασφαλείας να συνεργάζονται συνεχώς, αναλύοντας το σύστημα επεξεργαζόμενοι τα εμπόδια που κρατούν πίσω κάθε ομάδα.
«Οι οργανισμοί που επιδιώκουν πρωτοβουλίες μηδενικής εμπιστοσύνης επωφελούνται από την υιοθέτηση μιας κουλτούρας devops όπου όλοι οι ενδιαφερόμενοι development, security, operations και IT – είναι υπεύθυνοι για την ποιότητα, την ασφάλεια και την αξιοπιστία των εφαρμογών που δημιουργούν, αναπτύσσουν και λειτουργούν», δήλωσε η Worthington.
Συνέχισε, «Όταν η ασφάλεια εμπλέκεται νωρίς στον κύκλο ζωής της ανάπτυξης, οι απαιτήσεις μηδενικής εμπιστοσύνης μπορούν να εντοπιστούν και να ενσωματωθούν στο προϊόν. Οι οργανισμοί που δεν ενσωματώνουν ασφάλεια στο SDLC διατρέχουν τον κίνδυνο τα ζητήματα ασφάλειας να εντοπιστούν για πρώτη φορά αργά στον κύκλο ζωής, απαιτώντας εκ νέου επεξεργασία του προϊόντος και καθυστερημένους κύκλους κυκλοφορίας».
Όσο μεγαλύτερη είναι η συνεργασία, τόσο μεγαλύτερη είναι η κοινή ιδιοκτησία των ποσοστών ανάπτυξης, βελτιώσεις στην ποιότητα του λογισμικού και στις μετρήσεις ασφαλείας – βασικά μέτρα για την απόδοση κάθε ομάδας. Η διασφάλιση των devops πρέπει να ξεκινήσει με τις ακόλουθες προτεινόμενες στρατηγικές που αποφέρουν αποτελέσματα σήμερα:
Ενσωμάτωση εφαρμογών, εργαλείων και τεχνολογιών ασφαλείας στα υπάρχοντα workflows προγραμματιστών SDLC
Είναι το πρώτο βήμα για τη βελτίωση του τρόπου με τον οποίο οι ομάδες ανάπτυξης και ασφάλειας μοιράζονται στόχους και βοηθούν στον εντοπισμό πιθανών εμποδίων. Είναι επίσης μια πολύτιμη τεχνική για να βοηθήσει τους devops και τις ομάδες ασφαλείας να αρχίσουν να συνεργάζονται και να καταρρίπτουν τα εμπόδια επικοινωνίας και επεξεργασίας που εμπόδιζαν την πρόοδο στο παρελθόν. Για παράδειγμα, οι επιχειρήσεις συχνά ξεκινούν τη διαδικασία integration ενσωματώνοντας software composition analysis (SCA) και application security testing (AST). Αυτά τα εργαλεία παρέχουν στις ομάδες devops μεγαλύτερη ορατότητα στα ελαττώματα και τα τρωτά σημεία του κώδικά τους, ώστε να μπορούν να εργαστούν με ασφάλεια για την επίλυσή τους. Ο στόχος είναι να γίνουν οι εφαρμογές και τα εργαλεία ασφαλείας τόσο προσιτά ώστε οι μηχανικοί της devop να μπορούν να φτάσουν στην απαιτούμενη ταχύτητα και να επιτύχουν στην ασφαλή κωδικοποίηση.
Παρακολούθηση της απόδοσης ασφάλειας εφαρμογών για καλύτερες αποφάσεις ανάπτυξης
Οι ομάδες devops μεγάλης κλίμακας έχουν συχνά τεχνικούς και μηχανικούς ασφαλείας αφοσιωμένους σε διαφορετικές εφαρμογές, βάσεις κώδικα και ομάδες. Στόχος τους είναι να αναλύσουν την απόδοση κάθε περιοχής σε βασικές μετρήσεις ασφάλειας εφαρμογών, διασφαλίζοντας παράλληλα ότι εφαρμόζονται ασφαλείς πρακτικές κωδικοποίησης. Με την πάροδο του χρόνου, τα δεδομένα που παράγονται από την παρακολούθηση βελτιώσεων στην ασφάλεια εφαρμογών βοηθούν τις ομάδες devops να λαμβάνουν πιο ενημερωμένες αποφάσεις.
Ο βασικός χρόνος για την αποκατάσταση επιτρέπει στις ομάδες devops να μετρούν έναν μέσο όρο από τη στιγμή που εντοπίζεται ένα ζήτημα έως τη στιγμή που το πρόβλημα επιλύεται. Οι ομάδες που παρακολουθούν αυτούς τους τύπους μετρήσεων μπορούν να δουν πρόοδο με την πάροδο του χρόνου καθώς εφαρμόζουν καλύτερο σχεδιασμό, πρακτικές κωδικοποίησης και αυτοματοποιημένες δοκιμές.
H Worthington λέει ότι τα σημεία αναφοράς ή οι μετρήσεις που χρησιμοποιούνται από τις ομάδες devops για τη μέτρηση της προόδου τους στο να κάνουν τη διαδικασία SDLC πιο ασφαλή πρέπει να περιλαμβάνουν το ποσοστό των εφαρμογών που έχουν αυτοματοποιημένες δοκιμές ασφαλείας και ενσωματώνονται στον κύκλο ζωής ανάπτυξης λογισμικού. Οι μετρήσεις θα πρέπει επίσης να περιλαμβάνουν το ποσοστό των εφαρμογών που καλύπτονται από τεχνολογίες προστασίας μετά την παραγωγή.
«Μια θετική τάση υποδηλώνει μειωμένο κίνδυνο για την επιχείρηση, μείωση της απρογραμμάτιστης εργασίας και προστασία της φήμης της επωνυμίας», συμβουλεύει η Worthington.
Πρόσληψη security coach σε devops
Ενθαρρύνετε τα μέλη των ομάδων devops να γίνουν security coaches, προσφερόμενοι να πληρώσετε για τις πιστοποιήσεις, την εκπαίδευση και την δια βίου μάθηση. Η αναβάθμιση δεξιοτήτων είναι πιο αποτελεσματική όταν συνδυάζει άτυπη εκπαίδευση από μηχανικούς ασφαλείας και επίσημη εκπαίδευση που πληρώνεται από τον οργανισμό, έτσι ώστε τα μέλη της ομάδας να μπορούν να αποκτούν συνεχώς νέες γνώσεις.
Κλείσιμο των κενών μεταξύ AST και devops για εξοικονόμηση χρόνου και βελτίωση της ασφάλειας
Οι ομάδες πληροφορικής και ασφάλειας επιχειρήσεων συχνά ακολουθούν μια στρατηγική shift-left για να συμβεί αυτό. Αυτό περιλαμβάνει τη δημιουργία περισσότερης συνεργασίας κατά τα πρώτα στάδια του SDLC βασιζόμενη στην ανάλυση σύνθεσης λογισμικού και δίνοντας προτεραιότητα σε ό,τι χρειάζεται να γίνει περισσότερο στο backlog των απαιτήσεων ασφαλείας. Το κλείσιμο του χάσματος επιταχύνει την ανάπτυξη και παρέχει στους μηχανικούς την ευκαιρία να μάθουν για το AST.
Οι κορυφαίοι προμηθευτές που παρέχουν πλατφόρμες που ενσωματώνουν το AST σε devops περιλαμβάνουν τα Coverity, Checkmarx, GitLab, HCL AppScan, Micro Focus Fortify On Demand, Veracode Application Security Platform και άλλα. Το Checkmarx είναι αξιοσημείωτο για την ολοκληρωμένη προσέγγισή του που είναι αποδεδειγμένα επεκτάσιμο σε οργανισμούς που κάνουν καθημερινές εκδόσεις κώδικα. Το SDLC πρέπει να έχει μηδενική εμπιστοσύνη στη σχεδίαση ξεκινώντας από το επίπεδο API για να μειώσει τον κίνδυνο παραβίασης
Το SDLC πρέπει να έχει μηδενική εμπιστοσύνη στη σχεδίαση ξεκινώντας από το επίπεδο API για να μειώσει τον κίνδυνο παραβίασης
Οι οργανισμοί πρέπει να υιοθετήσουν αρχές μηδενικής εμπιστοσύνης για όλα τα συστήματα και τις διαδικασίες που αποτελούν το devops pipeline για να προστατεύουν τις αλυσίδες εφοδιασμού λογισμικού τους από επιθέσεις και απειλές.
Το VentureBeat ρώτησε πρόσφατα τη Sandy Carielli, κύρια αναλυτή της Forrester, πώς το IT, το devops και η ασφάλεια μπορούν να συνεργαστούν καλύτερα για τη βελτίωση της ασφάλειας API ως μέρος της διαδικασίας CI/CD. H Carielli είπε: «Όπως σε πολλούς τομείς ασφάλειας, η έγκαιρη επικοινωνία κάνει μεγάλη διαφορά. Κατά τα πρώτα στάδια του καθορισμού του προϊόντος, η ασφάλεια πρέπει να βρίσκεται στο δωμάτιο και να κατανοεί τη στρατηγική API για ένα προϊόν ή έργο. Αυτό θα βοηθήσει να διασφαλιστεί ότι η ομάδα έχει την κατάλληλη τεχνογνωσία και υποστηρικτικά εργαλεία. Επιπλέον, συνεργαστείτε με το IT και το devops για μια πολιτική και ελέγχους για την ανάπτυξη νέων API για να μειώσετε τον κίνδυνο rogue ή μη διαχειριζόμενων API.»
Το VentureBeat ρώτησε επίσης την Carielli τι πρέπει να αναζητήσουν οι οργανισμοί κατά την αξιολόγηση της στρατηγικής ασφάλειας API για τους οργανισμούς τους. Συμβουλεύει, «όταν εξετάζετε τη στρατηγική API, συνεργαστείτε με την ομάδα προγραμματιστών για να κατανοήσετε πρώτα τη συνολική στρατηγική API. Αποκτήστε καλύτερο εντοπισμό API. Κατανοήστε πώς τα υπάρχοντα εργαλεία appsec υποστηρίζουν ή δεν υποστηρίζουν περιπτώσεις χρήσης API. Πιθανότατα θα βρείτε επικαλύψεις και κενά. Αλλά είναι σημαντικό να αξιολογήσετε το περιβάλλον σας για αυτό που υπάρχει ήδη πριν αγοράσετε μια δέσμη νέων εργαλείων».
Δείτε επίσης: Το νέο Google Play system update βελτιώνει την ασφάλεια
Βελτίωση του devops με την ενσωμάτωση της ασφάλειας
Η ασφάλεια πρέπει να είναι μια συνεχής, αυτοματοποιημένη διαδικασία στο devops, εάν πρόκειται να φτάσει τις δυνατότητες που έχει να βελτιώσει τα ποσοστά ανάπτυξης κώδικα, μειώνοντας ταυτόχρονα τους κινδύνους ασφαλείας και βελτιώνοντας την ποιότητα του κώδικα. Επιπλέον, όταν η ασφάλεια αποτελεί βασικό μέρος του SDLC, οι βασικές μετρήσεις είναι διαθέσιμες σε ομάδες devops και μηχανικούς ασφαλείας, βελτιώνοντας περαιτέρω τη συνεργασία.
Η τελευταία έκθεση της Forrester συμβουλεύει τους ηγέτες IT να υιοθετήσουν εργαλεία AST που εκπαιδεύουν μηχανικούς devops κατά την εργασία, ενισχύοντας περαιτέρω τις γνώσεις τους. Η αναφορά συνιστά τη στατική δοκιμή ασφάλειας εφαρμογών, τη δυναμική δοκιμή ασφάλειας εφαρμογών και τη διαδραστική δοκιμή ασφάλειας εφαρμογών ως τα καλύτερα εργαλεία για να ξεκινήσουν οι μηχανικοί devops.
Η Forrester συμβουλεύει επίσης τους ηγέτες IT και ασφάλειας να αναζητήσουν εργαλεία που περιλαμβάνουν ενότητες εκπαίδευσης που είναι clickable και σύντομες και μπορούν να εισαχθούν στο SDLC όσο το δυνατόν νωρίτερα, όπως plug-ins που μοιάζουν με spellcheckers στο ενσωματωμένο περιβάλλον προγραμματιστή (IDE).
Πηγή: venturebeat.com
