4 gyakorlat az alkalmazások biztonságának fejlesztésére
„A biztonság egy folyamat, nem egy termék.”
Bruce Schneier, amerikai számítógépbiztonsági és adatvédelmi szakember
Egy biztonsági hiba az alkalmazásban sok pénzbe kerülhet a cégnek. A rést kihasználva ugyanis a kiberbűnözők betörhetnek a vállalat rendszerébe, és komoly károkat okozhatnak. Ez természetesen a legrosszabb eshetőség, de már az is kellemetlen, ha a szoftverfejlesztési ciklus utolsó fázisában kell orvosolni a problémát, amikor a javítás már jelentős mennyiségű időbe és energiába kerül. A Micro Focus szakértői bemutatják, hogyan gondoskodhatnak a vállalatok az alkalmazások biztonságáról jól átgondolt stratégia és fejlett eszközök segítségével.
Az alkalmazások biztonsága fontos terület a cégek működésében, és a szervezeteken belül több szakember és részleg is foglalkozik vele. A döntéshozók általában egy, kifejezetten az ő részükre kialakított irányítópulton vagy jelentésben tekintik át a cégnél használt alkalmazások állapotát. A fejlesztők a szoftveres ticketing rendszerben kezelik a biztonsági szakemberek által megjelölt biztonsági problémákat, egyes nagyobb vállalatok szoftvermérnöki csapata pedig saját önkiszolgáló biztonsági tesztelési modellt hoz létre annak érdekében, hogy a lehető leghatékonyabban menedzseljék ezt a feladatkört. A Micro Focus összegyűjtötte azt a négy legfontosabb gyakorlatot, amit az ügyfelei közé tartozó, ismertebb nagyvállalatok is alkalmaznak.
Teszt: minél előbb, annál jobb!
Minél később fedezik fel a biztonsági réseket és hibákat a szoftverfejlesztési folyamat során, annál többe kerül a kijavításuk. Ezért az alkalmazásbiztonság optimalizálásához kulcsfontosságú, hogy a lehető legkorábban azonosítsák és orvosolják ezeket a sebezhetőségeket. Az alkalmazásbiztonságért felelős csapatoknak minél több biztonsági és kódellenőrzési folyamatot kell bevezetniük a szervezet integrált fejlesztési környezetébe (integrated development environment – IDE), de csak addig a szintig, amíg ez nem rontja a fejlesztők hatékonyságát.
A kódellenőrző funkciók integrálása segíthet a fejlesztőknek abban, hogy a kódírás során a biztonságra is odafigyeljenek, illetve biztonságosabb kódolási módszereket sajátítsanak el. Ilyen lehetőséget kínálnak a statikus elemző eszközök, köztük a Fortify Static Code Analyzer. A kódszerkesztési folyamatok során azonban csupán a legegyszerűbb vizsgálatokat érdemes lefuttatni. További, alaposabb teszteket a fejlesztési ciklus későbbi pontjain célszerű alkalmazni.
Önkiszolgáló eszközöket minden fejlesztőnek!
Az alkalmazásbiztonságért felelős szakembereknek azt is biztosítaniuk kell, hogy a biztonsági eszközöket egyszerűen lehessen használni és igény szerint futtatni. Ha a fejlesztők maguk is képesek azonosítani és javítani a biztonsági hibákat, akkor a fejlesztési folyamat is agilisabbá válik, és jobban összhangba kerül az olyan, folyamatos integrációs módszerekkel, mint például a DevOps. Szintén segíti és gyorsítja a fejlesztők munkáját, ha automatizált és önkiszolgáló eszközökkel, önállóan gondoskodhatnak az alkalmazások biztonságáról. A Micro Focus alkalmazásbiztonsági portfóliója számos olyan hasznos eszközt tartalmaz, amelyek segítségével automatizáltan felkutathatók, rangsorolhatók és javíthatók a hibák.
Mindenkivel a saját nyelvén
A vállalatok eltérő szintjein tevékenykedő szakembereknek különböző rálátással kell rendelkezniük az alkalmazásbiztonságra. A menedzsmentnek általában magas szintű, átfogó jelentésre van szüksége, illetve specifikus mutatókra, amelyekkel nyomon követhető az alkalmazásbiztonság állapotának előrehaladása. Míg a fejlesztők egyszerűen a többi hibához hasonló, kijavítandó „bug”-ként tekintenek a biztonsági problémákra. Ezért feléjük az ő nyelvükön kell kifejezni az ehhez kapcsolódó információkat és teendőket. Emellett az alkalmazásbiztonságért felelős szakembereknek olyan teljesítménymutatókat (KPI) is érdemes használniuk, amelyekkel mérni tudják a biztonsági állapotot.
Biztonsági kultúra
Végül, de nem utolsó sorban arra is fontos figyelmet fordítaniuk a cégeknek, hogy erős biztonsági kultúrát építsenek ki. Ahelyett, hogy „kötelezővé tennék” minden fejlesztő számára, hogy foglalkozzon a biztonsággal is, érdemes inkább megkeresni azokat a szakembereket, akik szívesen sajátítanak el minden hasznos információt a biztonságos kódoláshoz. Az ilyen lelkes és érdeklődő kollégák támogatásával hatékonyabb biztonsági programot lehet működtetni, és jobb eredményeket lehet elérni.