Питер Данье — соучредитель и генеральный директор компании Воин безопасного кода.
Как я уже упоминал в своей предыдущей статье, Безопасность CISA по принципам проектирования— которые применяются к поставщикам программного обеспечения, поставляющим правительству США, но должны учитываться всеми разработчиками программного обеспечения — призывают к перепроектированию путей обучения безопасности для разработчиков, укреплению навыков, проверке этих навыков и продвижению позитивной культуры безопасности, которая обеспечивает необходимые гарантии для снижения человеческая ошибка. в жизненном цикле разработки программного обеспечения (SDLC). Это немалое достижение, и для организаций с низким уровнем безопасности внедрение будет иметь большое значение.
Однако не расстраивайтесь: это Восток возможно обеспечить значимую безопасность посредством проектной инициативы и взять на себя ведущую роль в преобразовании текущего статус-кво культуры безопасности. Давайте обсудим предстоящие проблемы и методы их преодоления в командах безопасности и разработки компании.
Является ли безопасность по задумке достижимой и готовой к бизнесу целью?
Нередко правительственные рекомендации иногда не принимают во внимание повседневные реалии людей на местах, которые должны их выполнять. Руководящие принципы CISA по обеспечению безопасности были неоднозначно восприняты руководителями служб безопасности, большинство из которых признали, что это действительно хорошая идея, но реализация ее во все более сложной программной среде оказалась непростой задачей.
Опрос более 500 специалистов по безопасности и разработке приложений, проведенный в 2022 году, из Код брони показали, что большинство компаний по-прежнему отдают приоритет быстрому выводу программного обеспечения на рынок, а не поставке безопасных продуктов. Более 63% респондентов согласились с тем, что «быстрая доставка приложений имеет приоритет над безопасной доставкой», а 60% заявили, что «их организации не имеют возможности должным образом проверять приложения» с точки зрения безопасности перед их публикацией.
Эти выводы, безусловно, противоречат призыву директора CISA Джен Истерли «радикальная прозрачность и подотчетность«для практики безопасного программного обеспечения и указывают на то, что для большинства компаний существенное улучшение культуры безопасности и модернизация инструментов, управляемых данными, являются нормой. Однако в таких крупных организациях, как Microsoft, Google, IBM и Cisco, уже обязуемся обеспечить безопасность посредством проектных инициативОчевидно, что краткосрочные трудности для достижения позитивных долгосрочных результатов в области безопасности — это жертва, на которую мы должны быть готовы пойти.
Вопросу сложности в современной программной среде уделяется все больше внимания, и модернизация существующих разросшихся монолитов кода для соответствия рекомендациям по безопасности является задачей, которая граничит со сложностью, особенно с надвигающейся нехваткой навыков в области безопасности. далека от решения. Однако мы не можем и дальше прибегать к одним и тем же оправданиям, а инвестиции в качество кода и целостность безопасности должны быть учтены в корпоративных бюджетах.
Подготовка к значимой безопасности путем проектной инициативы
Хотя идея о том, что реализация инициативы по обеспечению безопасности является слишком сложной для сегодняшних и без того сложных сред разработки программного обеспечения, верна, нам необходимо сосредоточиться на ощутимых преимуществах и рассматривать ее как инициативу, которая, если ее правильно реализовать, снизит будущие риски. В конце концов, в руководящих принципах CISA прямо говорится о стремлении устранить категории уязвимостей, что, если к ним присоединится достаточное количество компаний, может оказаться чрезвычайно позитивным для индустрии программного обеспечения в целом и во всех секторах.
В моей компании мы взяли приносить присягу мы используем эти руководящие принципы как Полярную звезду, чтобы гарантировать соответствие лучшим практикам безопасности, ожидаемым нашими клиентами. Вот несколько способов, с помощью которых ваш бизнес может подойти к этой инициативе и получить выгоду:
• Постоянно совершенствуйте навыки и оценивайте таланты внутренней безопасности. Мы ежегодно оцениваем и сертифицируем наших специалистов по безопасности и группы разработчиков с помощью наших платформ обучения и оценки. Хотя другие методы различаются, основное внимание следует уделять тому, чтобы обучение было точным, практичным и готовило их к реальным средам программирования, с которыми они фактически сталкиваются в течение своего рабочего дня. Обеспечьте частое повышение квалификации, используя основанную на данных информацию, указывающую области, в которых необходимо внести улучшения, чтобы закрыть пробелы в знаниях.
• Внедрить надежные средства контроля безопасности. Хотя это может показаться очевидным, крайне важно, чтобы организация была полностью прозрачна в отношении того, как и где можно получить доступ к конфиденциальной информации, и чтобы ключи от замка принадлежали только нескольким людям, которым доверяют и которые компетентны в вопросах безопасности и способны их выполнить. эту ответственность безопасно. Вероятно, это означает жесткий контроль над традиционно скользкими областями, такими как API, и предоставление командам возможности поддерживать SBOM.
• Ожидайте прозрачности от поставщиков. Выбирайте сторонних поставщиков и партнеров на основе их прозрачности и приверженности лучшим практикам безопасности. В конце концов, они должны заботиться о безопасности так же, как и вы.
• Выполнение моделирования угроз. Выполняйте моделирование угроз во время проектирования и внесения крупных изменений в программное обеспечение. Это не должно быть предметом переговоров.
• Предоставлять прозрачную отчетность совету директоров. Подотчетность имеет важное значение. Обязательно регулярно предоставляйте совету директоров отчеты о рисках безопасности программного обеспечения и мерах по их снижению.
Заключение
Технический долг несомненно, является постоянной проблемой во многих командах разработчиков. Тем не менее, лекарством от постоянного рефакторинга кода или отклонения кода командой безопасности является точное обучение, которое помогает разработчикам с самого начала добиться более высокого результата. Это особенно эффективно, если вы потратите время на оценку текущего уровня навыков ваших сотрудников, выявление пробелов и создание ориентированной на разработчиков программы безопасности, ориентированной на постоянное совершенствование в наиболее важных областях.
Хотя мы никогда не сможем удалить все ярлыки, ошибки или утомительные сложности из существующей кодовой базы, предоставление разработчикам возможности изучать навыки безопасности, выходящие за рамки базовых знаний, является ключом к тому, чтобы, по крайней мере, не усугублять беспорядок и двигаться вперед с более высокими стандартами. . необходимые для современной разработки программного обеспечения.
Технологический совет Forbes — это сообщество, доступное только по приглашению, для ИТ-директоров, технических директоров и руководителей технологий мирового уровня. Имею ли я право?
