Безопасность приложений Как мы знаем, сегодня сломаны.
Вы совершаете свой код и выдвигаете функции в производство, только чтобы получить высокоприоритетный билет JIRA от месяцев безопасности спустя с небольшим контекстом. На данный момент ошибка безопасности была в производстве в течение нескольких месяцев, и вы натягиваются в неэффективный процесс исправления.
Существует лучший способ.
- Современный Appsec нарушен. Agile, Cloud, DevOps, CI/CD и Open Source изменили все для инженеров, но процессы безопасности борются, чтобы продолжать встать.
- Будущее Appsec находится в инженерных командах. Традиционные его операции были заменены DevOps; Не следует ли информировать собственную безопасность кода, которую они пишут?
- Приходите новая порода инструментов безопасности. Мы являемся частью небольшой, но мощной группы инструментов безопасности, которые созданы для разработчиков, которые выполняют фактическое фиксацию ошибок безопасности.
Приложения проталкиваются в мир быстрее, чем когда-либо прежде. Облачные развертывания, команды DEVOPS и CI/CD позволили инженерным командам создавать высокое качество программного обеспечения с невероятной эффективностью. Поскольку эти приложения выталкиваются на производство, часто несколько раз в неделю или день текущая модель безопасности не может идти в ногу.
Ниже приведены некоторые способы, которыми Appsec больше не работает на современные программные команды:
- Не соответствует современным рабочим процессам. Разработка сместилась на постоянную доставку, с бесконечными инструментами для поддержки вас в вашей работе. Вы быстро разверните программное обеспечение и рассчитывайте на тестовые люксы, чтобы поймать ошибки. Однако ваши инструменты безопасности приложений создаются для эпохи водопада и существуют в изоляции от остальной части вашего рабочего процесса.
- Не построен для автоматизации. Тестирование ошибок безопасности должно быть автоматизировано на протяжении всего трубопровода по доставке, начиная как можно ближе к локальному Dev. Решения, которые в центре тестирования после того, как приложение попадает в производство, просто не сокращайте его в этот день и возраст.
- Найти> фиксацию. Существующие инструменты безопасности приложений (и, в некоторых случаях, командах) занимаются конкурсом нахождения самых вещей, и вы получаете постоянно растущее отставание. Фиксирование легко используемых, легко фиксированные ошибки должны быть приоритетыми по нахождению самой неясной уязвимости.
- Построен для Infosec. Требуется всего несколько минут только на полном этаже RSA, чтобы знать, что продукты безопасности старых построены для CISO 500 CISO 500. Созданные для разработчиков — это маркетинговая таблица, а не реальность продукта. Перепрыгивайте на любой из ведущих инструментов безопасности на рынке, и быстро очевидно, что они на самом деле не построены для разработчиков.
- Обучение> Инструменты. Команды безопасности вкладывают разработчики обучения времени и усилия о том, как написать безопасный код. Хотя благородное преследование, реальность заключается в том, что вы подталкиваетесь к доставке функций и не сохраняют достаточно своих безопасных семинаров по кодированию. Хорошая инструментарий всегда выиграет над другим тренировочным днем.
Прилив начинает переходить с инженерами, принимающими охрану их приложений. Современные инженерные команды знают, что для отправки безопасных приложений они должны владеть им самим собой. Мы в первые дни этой смены, с днем вскоре на горизонте, где неэффективные модели Infosec для безопасности приложений станут реликвией прошлого.
Как мы разговариваем с разработчиками, которые находятся на режущей кромке этой смены, мы видим следующие тенденции:
- Поиск ошибок безопасности переходит влево. Как и в случае любой ошибки, лучше всего найти и исправить ранее в процессе разработки. Найти ошибку в местном разработке и забивании на быстрое исправление легко. Когда ошибка разбивает сборку или найден в производстве, это другая история. Лучшие инженерные команды добавляют проверку безопасности приложений в Commit and Merage и оснащены их разработчикам с помощью инструментов для быстрого устранения неполадок, когда ошибка найдена.
- Сортировка и исправление живет с теми, которые лучше всего оснащены. Если вы написали код, вы, как правило, лучше всего оснащен, чтобы позвонить о риске безопасности определенной ошибки и инструменту. Даже лучше, когда исправление настолько прост, что стирает когнитивную нагрузку на определение риска, но ошибка можно найти и фиксировать, пока все еще в локальной разработке.
- Фиксирование во время скорости накопителей контекста. Больше не получают оповещенные ошибки безопасности для кода, которые вы написали несколько месяцев назад. Исправление ошибки, в то время как у вас есть контекст части кодовой базы, которую вы работаете над простых и эффективностью.
- Безопасность и инженерия знает качество. Ваша инженерная команда знает, как отправить высококачественные приложения со скоростью и эффективностью. Таким же образом, что команды не будут толчать ошибки пользовательских интерфейсов в производство, ошибки безопасности могут быть зафиксированы до того, как последний выпуск пойдет в прямом эфире. Безопасный код — код качества.
Сдвиг безопасности приложения уже начался. Был невероятный прогресс в том, что делает лучшую в своем классе инженерную программу за последние два десятилетия. Инженеры владеют концом к прекращению здания, доставки, эксплуатации и качества своих приложений, и время прибыла для вас, а также для владения безопасностью.
Этот сдвиг, однако, требует новой породы безопасности безопасности. Инструменты, которые стремятся служить CISO в первую очередь, в ущерб инженерам, больше не сократит его. Продукты, которые несут возмутительные ценники, но не сдерживались сдвига в том, как создается программное обеспечение, и доставлено, должны быть поставлены. Здесь, в Stackhawk, мы говорим: «Это не безопасность для людей безопасности. «Пока инструменты безопасности приложений построены для команд Infosec, им не хватает функций, которые необходимы для по-настоящему служить вам, современному инженеру программного обеспечения.
Мы создали StackHawk Чтобы упростить процесс построения и доставки безопасного кода. Мы мертв на создании лучших целепочковых сфокусированных инструментов DEV, гарантируя, что такие же люди, которые пишут код, предназначены для обеспечения безопасности. Мы взволнованы тем, что мы уже построили, и мы просто начинаем.
Оригинал: «https://dev.to/stackhawk/application-security-is-broken-here-is-how-we-intend-to-fix-it-a18»