Hvordan kan dit sikkerhedsteam hjælpe udviklere med at skifte til venstre?

Spørgsmål: Hvordan kan jeg få min organisation til at flytte sin sikkerhed til venstre uden at bremse vores udviklere?

Scott Gerlach, CSO og medstifter af StackHawk: I sidste ende kræver det en blanding af mennesker, processer og teknologi. Værktøj i sig selv kan ikke bringe dig derhen. Jeg anbefaler typisk de følgende seks trin til organisationer, der begynder deres rejse. Når teams anvender disse trin, kan de faktisk begynde at flytte sikkerheden til venstre uden at gå på kompromis med udviklerhastigheden.

1. Involver udviklingsteamet tidligt i AppSec-designprocessen

Udviklere skal inddrages i beslutninger for at skifte til venstre skal arbejde. Partner med dem for at:

• Evaluere og integrere værktøj.
• Etabler passende fix-cyklusser.
• Bestem, hvordan resultater vil blive tildelt og sporet.
• Få buy-in fra udviklingsledere.

AppSec-processen skal være designet til at afbryde udviklere mindre og hjælpe med at få software ud af døren.

2. Involver sikkerhedsteamet tidligt i udviklingsprocessen

Udviklere bør kommunikere deres applikations mål og forretningsmæssig betydning sammen med den type data, den vil håndtere og dens tilsigtede funktionalitet, til sikkerhedsteamet ved starten af ​​applikationsdesignet. Sikkerhedsteamet kan derefter nøjagtigt vurdere risikotolerance og give vejledning om implementering af sikkerhedsforanstaltninger, såsom autentificering og kryptering, før enhver kodning begynder.

3. Hjælp udviklere med at hjælpe sig selv

Brug værktøj, der hjælper udviklere med at forstå, hvad et opdaget problem er, hvorfor det er vigtigt, og hvordan man genskaber det, så de kan løse det. Det næste skridt er at lade udviklere dokumenterer sikkerhedsbeslutninger ved at triagere fund. Målet her er at lære sammen, ikke at få det helt rigtigt 100 % af tiden.

4. Sørg for målrettet sikkerhedstræning for udviklere

Når du tillader udviklere at dokumentere beslutninger, kan du bruge disse oplysninger til at give målrettet træning baseret på mønstre inden for rammerne af deres kode og betydning for virksomheden.

Sig f.eks. Team A gentagne gange cross-site scripting (XSS) fejl i fjederstartkode. Fokuser træningsressourcer på det i stedet for generisk materiale.

5. Automatiser sikkerhedstest i CI/CD

Test i CI/CD hjælper med at sikre, at sikkerhed er integreret i udviklingsprocessen sammen med anden automatiseret softwaretest, såsom enheds- og integrationstest. Start med at automatisere tests for almindelige webapplikationstrusler, såsom injektionsangreb, eksponering af følsomme data og XSS.

6. Samarbejd blandt udviklings-, sikkerheds- og driftsteams

At smide sårbarhedsrapporter over en mur til det næste hold er ikke samarbejde. Anvendelse af ovenstående trin danner grundlaget for, at teams kan arbejde sammen effektivt at identificere potentielle sikkerhedsrisici og udvikle strategier til at afbøde disse risici.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/edge-ask-the-experts/how-can-your-security-team-help-developers-shift-left