Питер Данье — соучредитель и председатель/генеральный директор Воин безопасного кода.
Как я уже говорил в своей предыдущей статье, Принципы безопасности CISA— которые применяются к поставщикам программного обеспечения, снабжающим правительство США, но должны учитываться всеми разработчиками программного обеспечения — призывают к пересмотру методов обучения безопасности для разработчиков, развитию навыков, проверке этих навыков и развитию позитивной культуры безопасности, которая обеспечивает барьеры, необходимые для уменьшения количества человеческих ошибок. в жизненном цикле разработки программного обеспечения (SDLC). Это немалая задача, и для организаций с низким уровнем безопасности ее реализация будет иметь важное значение.
Однако не расстраивайтесь: это является возможно реализовать значимую инициативу по обеспечению безопасности и возглавить работу по изменению текущего статус-кво в области культуры безопасности. Давайте обсудим предстоящие проблемы и методы их преодоления в группах корпоративной безопасности и разработки.
Является ли проектируемая безопасность достижимой целью, готовой к использованию на предприятии?
Рекомендации правительства нередко не достигают цели, принимая во внимание повседневные реалии тех людей на местах, которые должны их реализовать. Руководящие принципы CISA по обеспечению безопасности были неоднозначно восприняты руководителями служб безопасности, большинство из которых признали, что это действительно хорошая идея, но их внедрение во все более сложной программной среде не было пикником.
Опрос более 500 специалистов по безопасности и разработке приложений, проведенный в 2022 году, из БроняКод показало, что большинство компаний по-прежнему отдают приоритет скорости доставки программного обеспечения на рынок, а не поставке безопасных продуктов. Более 63% респондентов согласились, что «быстрая доставка приложений имеет приоритет над безопасной доставкой», а 60% заявили, что «их организациям не хватает прозрачности для правильной проверки приложений» с точки зрения безопасности перед выпуском.
Эти выводы, безусловно, противоречат призыву директора CISA Джен Истерли «радикальная прозрачность и подотчетность«для практики безопасного программного обеспечения и указывают на то, что для большинства предприятий необходимо значительное повышение как культуры безопасности, так и модернизация инструментов, управляемых данными. Однако такие крупные организации, как Microsoft, Google, IBM и Cisco, уже обязуясь принять инициативы по обеспечению безопасностиясно, что краткосрочная боль ради достижения долгосрочных позитивных результатов в области безопасности — это жертва, которую мы должны смириться.
Вопросу сложности современной программной среды уделяется повышенное внимание, а модернизация разросшихся монолитов устаревшего кода в соответствии с рекомендациями по обеспечению безопасности является задачей, граничащей с невозможным, особенно с учетом надвигающегося дефицита навыков безопасности, который мы все еще не можем решить. далека от решения. Однако мы не можем продолжать прибегать к одним и тем же оправданиям, а инвестиции в качество кода и целостность безопасности должны быть учтены в бюджетах компаний.
Подготовка к значимой инициативе по проектированию безопасности
Хотя идея о том, что реализация инициативы по проектной безопасности слишком сложна для и без того сложных существующих сред разработки программного обеспечения, справедлива, мы должны сосредоточиться на ощутимых преимуществах и рассматривать ее как инициативу, которая, если ее правильно реализовать, снизит будущие риски. В конце концов, руководящие принципы CISA напрямую ссылаются на стремление устранить категории уязвимостей, что, если к этому примет участие достаточное количество компаний, может быть чрезвычайно положительным для индустрии программного обеспечения в целом, в каждой вертикали.
В моей компании мы взяли приносить присягу мы используем эти рекомендации как Полярную звезду, чтобы гарантировать, что мы следуем лучшим практикам безопасности, которых ожидают наши клиенты. Вот некоторые способы, которыми ваша компания может подойти к этой инициативе и реализовать преимущества:
• Постоянно повышайте квалификацию и оценивайте таланты сотрудников службы безопасности. Мы оцениваем и ежегодно сертифицируем наших специалистов по безопасности и группы разработчиков с помощью наших платформ обучения и оценки. Хотя другие методы различаются, главное соображение должно заключаться в том, чтобы обучение было точным, практическим и готовило их к реальным средам программирования, с которыми они фактически сталкиваются в свой рабочий день. Обеспечьте регулярное повышение квалификации, используя подкрепленное данными понимание того, где необходимо внести улучшения, чтобы закрыть любые пробелы в знаниях.
• Внедрить надежные средства контроля безопасности. Хотя это может показаться само собой разумеющимся, крайне важно, чтобы в организации была полная прозрачность того, как и где можно получить доступ к конфиденциальной информации, и чтобы ключами от замка владели только те немногие, обладающие навыками безопасности и доверенными лицами, которые могут безопасно справиться с этой ответственностью. Это, вероятно, означает жесткий контроль над традиционно «дырявыми» областями, такими как API, и предоставление командам возможности поддерживать SBOM.
• Ожидайте прозрачности поставщиков. Выбирайте сторонних поставщиков и партнеров на основе их прозрачности и приверженности лучшим практикам безопасности. В конце концов, им нужно заботиться о безопасности так же, как и вам.
• Проводить моделирование угроз. Выполняйте моделирование угроз во время проектирования и внесения крупных изменений в программное обеспечение. Это не должно быть предметом переговоров.
• Предоставлять прозрачную отчетность совету директоров. Ответственность является ключевым моментом. Обязательно регулярно предоставляйте совету директоров отчеты о рисках безопасности программного обеспечения и мерах по их устранению.
Заключение
Технический долг несомненно, является постоянной проблемой во многих командах разработчиков. Тем не менее, средством непрерывного рефакторинга кода или возврата кода от команды безопасности является точное обучение, которое помогает разработчикам с самого начала получать более надежные результаты. Это особенно полезно, если вы потратите время на оценку текущего уровня навыков ваших сотрудников, выявление пробелов и создание программы безопасности, управляемой разработчиками, которая фокусируется на постоянном совершенствовании в наиболее важных областях.
Хотя мы, возможно, никогда не отменим все прошлые ярлыки, ошибки или трудоемкие сложности в существующей кодовой базе, предоставление разработчикам навыков безопасности, выходящих за рамки базовых знаний, является ключом, по крайней мере, к тому, чтобы не усугублять беспорядок и двигаться вперед с более высокими стандартами. востребованы в современной разработке программного обеспечения.
Технологический совет Forbes — это сообщество, доступное только по приглашению, для ИТ-директоров, технических директоров и руководителей технологий мирового уровня. Имею ли я право?
