Veri güvenliği savaşı artık geliştiricilere düşüyor; işte nasıl kazanabilecekleri

Baş bilgi görevlileri (CIO’lar), güvenliği BT organizasyonlarında 1 numaralı zorluk olarak değerlendiriyor. Ve %82’si kendi yazılım tedarik zincirlerinin hassas.

Bu nedenle, güvenlik tehditleri gelişmeye ve daha karmaşık hale gelmeye devam ettikçe, geliştiricilerin sıfırdan bir güvenlik katmanı oluşturmak ve geliştirme yaşam döngüsü boyunca önlemlerin alınmasını sağlamak için güvenlik ekipleriyle yakın işbirliği yapmaları istenmiştir.

Bu ve diğer faktörlerin bir sonucu olarak, siber güvenlik giderek daha maliyetli bir konu haline geldi. Yakın tarihli bir raporda McKinsey, siber saldırılardan kaynaklanan hasarın kabaca 10.5 trilyon dolar 2025 yılına kadar her yıl, 2015’e göre %300 artış.

Aynı zamanda, dünyanın dört bir yanındaki hükümetler, yazılım tedarik zincirine yönelik riskleri not ettiler. ABD’de, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) bir liste yayınladı. siber performans hedefleri ülke genelinde kritik altyapıyı korumak için tasarlanmıştır. Şimdilik, bu yönergeler isteğe bağlıdır, ancak federal düzenlemeler için bir temel oluşturabileceklerine dair işaretler vardır.

Bu olumlu bir işaret, ancak şu anda veri güvenliği için verilen savaşta ön safları güçlendiren bir grup var: Geliştiriciler.

Yazılım tedarik zincirini güvenceye almak için dört sütun

Güvenlik ekipleri, kuruluşlarının verilerini güvence altına almak için ne gerekiyorsa yapmakla görevlendirilir, ancak yazılım tedarik zinciri saldırılarının artan sayısı ve yöntemleriyle, bu zor bir soru haline geliyor. Politikaları çok çeşitli operasyonlarda uygulamak giderek artan bir endişe kaynağıdır ve güvenlik ekipleri de uyumluluğu ve en iyi uygulamaları uygulamakla görevlendirilmiştir.

Pek çok kuruluşta sonuç, ekiplerin aşırı gerilmesi ve genellikle önceliği azaltılan sayısız tedarik zinciri sorununu düzeltmek ve güçlendirmek için kaçınılmaz olarak çağrılan geliştirme ekipleri üzerinde “yokuş aşağı” bir etki oldu.

Acı gerçek şu ki, çoğu kuruluşun tek odak noktası DevSecOps olan bir mühendisi veya lideri yoktur. Bu durumla birlikte, güvenlik ve geliştirme ekiplerinin birlikte çalışması ve en başından itibaren uygulamalarına ve operasyonlarına güvenliği “pişirmesi” giderek daha yaygın hale geliyor.

Geliştiriciler artık veri güvenliği mücadelesinde daha hayati bir rol oynadıklarından, konu yazılım tedarik zincirinin güvenliğini sağlamaya geldiğinde akıllarında tutmaları gereken dört temel nokta vardır:

Yazılım paketlerine daha fazla odaklanma

En temel düzeyde, yazılım paketleri, bir uygulama oluşturmak için bir araya getirilmiş kod modülleridir. Günümüzün kötü niyetli aktörleri arasında yaygın bir strateji, yalnızca kaynak kodundan daha fazlasını içeren güvenliği ihlal edilmiş paketlere saldırmaktır – bir kuruluşu savunmasız hale getirebilecek hassas anahtarlar, yapılandırmalar veya diğer bileşenler olabilir.

Bir savunma hattı olarak geliştiriciler, olası açıklardan yararlanmaların etkisinin tam olarak anlaşılmasını sağlamak için yalnızca kaynak kodunda görünmeyen paketlerdeki sorunları ortaya çıkarmak için hem araçlara hem de bilgiye ihtiyaç duyar.

Yazılımın çalıştığı bağlamı anlamak

Yazılım paketlerinin ötesinde, geliştiricilerin onu en iyi şekilde korumak için yazılımın çalıştığı bağlamı bilmesi ve anlaması gerekir. Özellikle, OSS kitaplığının kötüye kullanımını, hizmetlerin güvenli olmayan kullanımını, açığa çıkan sırları ve kod olarak altyapı (IaC) yapılandırma sorunları. Ardından, uygulamalarındaki en ciddi güvenlik açıklarının uygulanabilirliğini ve kötüye kullanılabilirliğini tanımlamaları gerekir.

Bir uygulamanın yapılandırmalarına, kimlik doğrulama mekanizmalarının kullanımına ve anahtarların açığa çıkmasına bağlı olarak yaygın güvenlik açıkları ve açıklardan (CVE’ler) yararlanılabilir veya yararlanılmayabilir. Geliştiricilerin, güvenlik ekipleriyle birlikte, güvendikleri kitaplıkların, hizmetlerin, arka plan programlarının ve IaC’nin şirket içi, bulutta ve uçta dahil olmak üzere bir yazılım tedarik zincirinde yanlış kullanılıp kullanılmadığını veya yanlış yapılandırılıp yapılandırılmadığını doğrulaması gerekir.

Her işlemin ve aracın güvenliği içermesini sağlamak

İdeal olarak, geliştirici ekipler tüm yapıtları ve havuzları tek bir yerde yöneterek bir kuruluş için tek bir doğruluk kaynağı oluşturmalıdır. Geliştirme ekipleri tüm portföylerinin kontrolünü ellerine aldığında, güvenlik en başından itibaren doğal ve sorunsuz bir süreçtir; gerçeğin tek kaynağı, tek bir güven kaynağı haline gelir.

Doğru yönetildiğinde, her DevOps işlemi ve aracı güvenlik gerektirir ve içerir. Fikir, geliştiriciden konuşlandırmaya kadar yazılım teslimini birleştirmek, hızlandırmak ve güvenli hale getirmektir. Güvenlik ekipleri stratejiler ve politikalar belirlerken, geliştirme ekipleri kod tabanlarını düzeltir ve yönetir. Yalnızca güvenlik ve geliştirici grupları için değil, çekirdek DevOps ekipleri için çalışan bir iş akışı sağlamak üzere paketler, altyapı, entegrasyonlar, yayınlar ve akışların tümü ele alınmalıdır.

Açıklardan yararlanılmadan önce güvenlik açıklarını keşfetme

Çoğu kuruluş, güvenlik açıklarını istismar edilmeden önce keşfetmeye yardımcı olmak için gelişmiş araştırma deneyimine sahip üçüncü taraf analistlerle veya açık kaynak topluluklarıyla ortaklık kurmalıdır. Bu, işletmelere sektörde yaygınlaştıkça yeni saldırılara hızla yanıt verme fırsatı verir ve bu da onların, araştırmacıların çalışmalarını taklit eden bağlamsal analizle veritabanlarını hızla güncellemelerini sağlar.

İnovasyonu mümkün kılmak

Tüm geliştirme süreci boyunca güvenlik uygulamak, geliştiricilerin geliştirmesine izin verir. Yukarıdaki stratejileri uygulamak, tüm günlerini anlamadıkları güvenlik sorunlarını düzeltmekle harcamak zorunda kalmamaları, aynı zamanda güvenlik açıklarını düzeltmeleri ve bunları tamamen düzelttiklerini bilmeleri için daha kolay ve hızlı yollar sunmaları anlamına gelir.

Güvenliğin gerçek ve hayati bir endişe olduğu tartışılmaz, ancak kazanan kuruluşlar, onu yazılım tedarik zincirinde bir öncelik haline getirenlerdir. Bu da geliştiricilerinin yenilik yapmasına ve işi ileriye taşımasına olanak tanır.

Nati Davidi, JFrog’da güvenlikten sorumlu Kıdemli Başkan Yardımcısıdır..