Így hatott a világjárvány a szoftverfejlesztésre és a biztonságra
„A kiberbiztonsági veszély nem szűnt meg azokkal a súlyos, előre nem látott kockázatokkal, amelyekkel a COVID és egyéb gazdasági bizonytalanságok miatt szembe kell néznünk. Még mindig itt van, sokkal inkább, mint valaha.”
Jay Clayton, az Egyesült Államok Értékpapír és Tőzsdefelügyeletének elnöke
Kevés olyan területe van az életünknek, amelyre nincsenek hatással a járvány következtében megváltozott körülmények. Egy friss, a Micro Focus szponzorálásával készült felmérés arra mutatott rá, hogy a vállalatok az új helyzet miatt egyre nagyobb hangsúlyt fektetnek a biztonságra az alkalmazások fejlesztése során, ám a biztonsági kultúra terén még van hova fejlődni. Jó hír, hogy aki még nem foglalkozott eddig ezzel a területtel, az is könnyen és gyorsan belevághat az alkalmazások biztonságának megerősítésébe.
Az IDC nemrégiben közzétette friss kutatásának eredményeit, amelyben azt elemezte, hogyan változtak a szervezetek DevSecOps gyakorlatai, vagyis mennyiben módosultak az alkalmazásbiztonsági megközelítések a modern szoftverfejlesztési folyamatok során. A felmérés során közel 1200 vállalati döntéshozó tapasztalatait vizsgálták.
Amint arra a kutatás is rámutatott, az alkalmazásfejlesztés és az alkalmazásbiztonság világszerte óriási átalakuláson ment keresztül az elmúlt évben. Gyorsan kellett reagálni a változásokra, és komoly lökést adott a jelenségnek a tömeges home office, ami miatt egyúttal a biztonságra is muszáj minden eddiginél nagyobb figyelmet fordítani. Ha az alkalmazottak ugyanis távolról veszik igénybe a céges erőforrásokat és alkalmazásokat, az megnöveli a támadási felületet a kibertérben.
Előtérben a DevSecOps
A koronavírus talán a leggyorsabb változásokat idézte elő a piacon az elmúlt évtizedekben. A PwC adatai szerint például az USA-ban a járvány miatt a vállalatok közel 80 százaléka engedélyezi a távmunkát a munkaerő több mint 60 százalékának legalább heti egy alkalommal. A munkavégzési és felhasználói szokások tehát jelentős változásokon mennek keresztül, és ezt követniük kell a mindennapi élet során használt eszközöknek is. A szoftverfejlesztők ezért igyekeznek felpörgetni saját innovációikat, amihez rövidebb fejlesztési ciklusokra és gyorsabb folyamatokra van szükség. Ehhez jó támogatást biztosít a DevOps megközelítés, ám annak integrált részévé kell tenni a biztonságot is. Ezt felismerve az elmúlt évben a vállalatok háromnegyede felgyorsította DevSecOps kezdeményezéseit.
Alulértékelt akadály a hozzáállás
A kutatás alapján leginkább az alacsony költségvetés, valamint a tudás és képességek hiánya áll annak az útjában, hogy a vállalatok sikerrel váltsanak a DevSecOps megközelítésre. A listán a hatodik helyen szerepel a „kulturális ellenállás”, ám a Micro Focus szakértői szerint ez húzódhat meg a többi gátló tényező mögött is. Hiszen ahol a vállalati kultúra része, hogy gyorsan szeretnének biztonságos szoftvereket fejleszteni, ott a költségvetés nem lehet akadály, és a szakemberek képzésére is megfelelő figyelmet fordítanak. Egy olyan vállalat, amely erős biztonsági kultúrát alakít ki, hatékonyan kezeli az összes kapcsolódó kihívást.
Nem elég érett a biztonság
A megkérdezettek 45 százaléka értékelte úgy, hogy magas szinten sikerült összehangolniuk a szoftverfejlesztéshez, üzemeltetéshez és biztonsághoz kapcsolódó folyamatokat, tehát több mint felük mérsékelt vagy alacsony szintűnek találta saját szervezetének ilyen irányú törekvéseit. Pedig a vállalatok számára már rendelkezésre állnak olyan automatizált eszközök, amelyek segítségével egyszerűen elindulhatnak az érett működés irányába.
Automatizált elemzéssel a biztonságért
A vállalatok negyede alkalmaz például SCA (software composition analysis) eszközt a biztonsági tesztek futtatásához. Az ilyen jellegű megoldások automatikusan átvizsgálják az alkalmazások kódbázisát és a kapcsolódó elemeket, például a konténereket és a beállításjegyzékeket. Majd azonosítják az összes nyílt forráskódú összetevőt, valamint azok licencelési és megfelelőségi adatait és az esetleges biztonsági réseket.
A Micro Focus megoldása, a rendkívül könnyen bevezethető Fortify on Demand szintén képes elemzések automatizált lefuttatására. Ezen felül további tesztelési metódusokat is képes alkalmazni, a forráskód statikus analizálásától kezdve a penetrációs teszteken át a mobilos és kézi elemzésig. Ezáltal a helyszínen futtatott, valamint a mobilos és a webes alkalmazások sebezhetőségeit is fel tudja térképezni és kilistázni, jelentősen csökkentve a biztonsági kockázatokat.