¿Cómo puede su equipo de seguridad ayudar a los desarrolladores a desplazarse hacia la izquierda?

Pregunta: ¿Cómo puedo hacer que mi organización cambie su seguridad hacia la izquierda sin ralentizar a nuestros desarrolladores?

Scott Gerlach, CSO y cofundador de StackHawk: En última instancia, requiere una combinación de personas, procesos y tecnología. Las herramientas por sí solas no pueden llevarle allí. Normalmente recomiendo los siguientes seis pasos a las organizaciones que comienzan su viaje. Cuando los equipos aplican estos pasos, pueden comenzar a desplazar la seguridad hacia la izquierda sin comprometer la velocidad del desarrollador.

1. Involucrar al equipo de desarrollo desde el principio del proceso de diseño de AppSec

Los desarrolladores deben participar en las decisiones sobre el turno de trabajo. Asóciese con ellos para:

• Evaluar e incorporar herramientas.
• Establecer ciclos de reparación adecuados.
• Determine cómo se asignarán y rastrearán los hallazgos.
• Obtenga la aceptación del liderazgo en desarrollo.

El proceso AppSec debe diseñarse para interrumpir menos a los desarrolladores y ayudar a lanzar el software.

2. Involucrar al equipo de seguridad desde el principio del proceso de desarrollo

Los desarrolladores deben comunicar al equipo de seguridad los objetivos y la importancia empresarial de su aplicación, junto con el tipo de datos que manejará y su funcionalidad prevista, al inicio del diseño de la aplicación. Luego, el equipo de seguridad puede evaluar con precisión la tolerancia al riesgo y brindar orientación sobre la implementación de medidas de seguridad, como autenticación y cifrado, antes de comenzar cualquier codificación.

3. Ayude a los desarrolladores a ayudarse a sí mismos

Adopte herramientas que ayuden a los desarrolladores a comprender qué es un problema descubierto, por qué es importante y cómo reproducirlo para poder solucionarlo. El siguiente paso es dejar los desarrolladores documentan las decisiones de seguridad mediante la clasificación de los hallazgos. El objetivo aquí es aprender juntos, no hacerlo absolutamente bien el 100% del tiempo.

4. Proporcionar formación en seguridad específica para desarrolladores

Cuando permite que los desarrolladores documenten decisiones, puede utilizar esa información para brindar capacitación específica basada en patrones dentro del contexto de su código y su importancia para el negocio.

Por ejemplo, digamos que el Equipo A repetidamente hace secuencias de comandos entre sitios (XSS) errores en el código de arranque de primavera. Centrar los recursos de formación en eso en lugar de material genérico.

5. Automatizar las pruebas de seguridad en CI/CD

Pruebas en CI/CD ayuda a garantizar que la seguridad se integre en el proceso de desarrollo junto con otras pruebas de software automatizadas, como pruebas unitarias y de integración. Comience por automatizar pruebas para amenazas comunes a las aplicaciones web, como ataques de inyección, exposición de datos confidenciales y XSS.

6. Colaborar entre los equipos de desarrollo, seguridad y operaciones

Lanzar informes de vulnerabilidad al siguiente equipo no es colaboración. La aplicación de los pasos anteriores sienta las bases para que los equipos trabajen juntos de manera eficaz para identificar posibles riesgos de seguridad y desarrollar estrategias para mitigarlos.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/edge-ask-the-experts/how-can-your-security-team-help-developers-shift-left