2022 এর উদ্বোধনী মূল বক্তব্যে কালো টুপি নিরাপত্তা সম্মেলন, ক্রিস ক্রেবস, হোমল্যান্ড সিকিউরিটিজ সাইবার সিকিউরিটি ডিপার্টমেন্টের প্রাক্তন ডিরেক্টর বলেছেন যে নিরাপত্তা আরও ভাল হওয়ার আগে আরও খারাপ হতে চলেছে। কেন? ক্রেবস বলেছিলেন যে "সফ্টওয়্যার দুর্বল থেকে যায় কারণ অনিরাপদ পণ্যগুলির সুবিধাগুলি ডাউনসাইডের চেয়ে অনেক বেশি।" নিরাপত্তা নিশ্চিত করার পরিবর্তে, সফ্টওয়্যার ডেভেলপমেন্ট লাইফ সাইকেল (SDLC) জুড়ে ফোকাস বাজারের প্রতিযোগিতাকে হার মানাচ্ছে। প্রকৃতপক্ষে, উদ্ভাবনকে প্রায়শই নিরাপত্তার সাথে মতভেদ দেখা যায় - পূর্বেরটি দ্রুত-গতিসম্পন্ন এবং উত্পাদনশীল বলে বিশ্বাস করা হয়, এবং পরবর্তীটি একটি রোড ব্লক যা দ্রুত-চলমান অ্যাপ্লিকেশন বিকাশকে বাধা দেয়। বর্তমান হুমকি ল্যান্ডস্কেপে এই দৃষ্টিভঙ্গি সেকেলে প্রমাণিত হচ্ছে।
ক্রমবর্ধমান সাইবার আক্রমণের সাথে, সফ্টওয়্যার সাপ্লাই চেইন সাইবার অপরাধীদের জন্য একটি জনপ্রিয় টার্গেট যারা অনিরাপদ কোড সংক্রামিত করার সময় তারা যে বিশাল ব্যাঘাত ঘটায় তা স্বীকার করে। উদাহরণস্বরূপ, এখন কুখ্যাত Log4Shell দুর্বলতা এমন একটি ঝুঁকি তৈরি করেছে কারণ ওপেন সোর্স Log4j বিশ্বব্যাপী সফ্টওয়্যার অ্যাপ্লিকেশন এবং অনলাইন পরিষেবা জুড়ে সাধারণভাবে ব্যবহৃত হয় এবং দুর্বলতাকে কাজে লাগানোর জন্য খুব কম দক্ষতার প্রয়োজন হয়৷ অতি সম্প্রতি, দ 25,000 দূষিত প্লাগ-ইন ওয়ার্ডপ্রেস সাইট জুড়ে পাওয়া সাইবার নিরাপত্তা ঝুঁকি হাইলাইট করে যা অনেক ব্যবসার সম্মুখীন হয়, যদিও তারা বিশ্বাস করে যে তারা তাদের ওয়েবসাইটের মধ্যে নিরাপদ অ্যাপ্লিকেশন এবং প্রোগ্রাম ব্যবহার করছে।
তাই উদ্ভাবন এবং নিরাপত্তা একটি একক লেন্সের মাধ্যমে দেখতে হবে; একটি ছাড়া অন্যটি সম্ভব নয়। তার চেয়েও বড় কথা, নিরাপত্তার দায়িত্ব আর এক নীরব দলের দায়িত্ব হতে পারে না। এটা অবশ্যই SDLC জুড়ে সবার জন্য অগ্রাধিকার হতে হবে।
অ্যাপসেক দ্বিধা
অ্যাপ্লিকেশন ডেভেলপমেন্টে বাড়তি বিনিয়োগ সত্ত্বেও, নিরাপত্তার ক্ষেত্রে একই গুরুত্ব প্রয়োগ করা হচ্ছে না। এই ধরনের প্রতিযোগিতামূলক জায়গায়, প্রথম মুভার্স পুরষ্কার পেতে থাকে। যারা তাদের "প্রথম কার্যকর পণ্য" নিয়ে বাজারে প্রবেশ করে তারা সম্ভবত এই পণ্যটি কীভাবে গ্রাহকদের পরিবেশন করতে পারে তা দেখছে, কীভাবে এটি নিরাপদে ব্যবহার করা যেতে পারে তা নয়। এই উচ্চ প্রত্যাশার সাথে, বিকাশকারীদের কোডের চাহিদা বেড়েছে 100 বার গত 10 বছরে, 92% দ্রুত কোড লিখতে চাপ অনুভব করে। যে সঙ্গে এই জোড়া 53% কোন পেশাদার নিরাপদ কোডিং প্রশিক্ষণ নেই, যখন এর মধ্যে নতুন দুর্বলতার সংখ্যা , NIST ন্যাশনাল ভালনারেবিলিটি ডাটাবেস গত কয়েক বছরে 200% বৃদ্ধি পেয়েছে এবং মনে হচ্ছে আমরা একটি অ্যাপ্লিকেশন নিরাপত্তা দ্বিধায় রয়েছি।
যাইহোক, এটি একটি অমীমাংসিত দ্বিধা নয়। সমাধানের জন্য একটি সম্পূর্ণ সুইচ-আপ প্রয়োজন যেভাবে অনেকে কোডিং এবং উদ্ভাবন দেখেন, মানুষের মানসিকতার উপর একটি নির্দিষ্ট ফোকাস রেখে। এটি নিরাপত্তাকে প্রথমে রাখে এবং স্বীকার করে যে শেষ পণ্যটি আরও সুরক্ষিত হলে বাজারে ধীরগতি হওয়া ঠিক। অনুসারে বোহেমের আইন, "একটি ত্রুটি খুঁজে বের করার এবং ঠিক করার খরচ সময়ের সাথে দ্রুতগতিতে বৃদ্ধি পায়" - এমন একটি ধারণা যা শুরু থেকেই নিরাপত্তাকে অগ্রাধিকার দেয় এমন সংস্থাগুলির নীচের লাইনের উপকার করতে পারে৷
এই নিরাপত্তা-প্রথম মানসিকতা প্রতিষ্ঠা করা অত্যন্ত গুরুত্বপূর্ণ — শুধুমাত্র উন্নয়ন দলের জন্য নয়, SDLC-এর মধ্যে ভূমিকা পালনকারী প্রত্যেকের জন্য। পণ্য এবং প্রকল্প পরিচালক, DevOps, ব্যবহারকারীর অভিজ্ঞতা (UX) ডিজাইনার, এবং গুণমান নিশ্চিতকরণ (QA) পেশাদাররা সকলেই শেষ ফলাফলকে প্রভাবিত করবে এবং সেইজন্য অ্যাপ্লিকেশন নিরাপত্তার জন্য বর্তমান দ্বিধাকে চিনতে হবে এবং কীভাবে এই চ্যালেঞ্জটি অতিক্রম করা যেতে পারে।
সমন্বিত শিক্ষার অধিকার পাওয়া
দলগুলো না বুঝলে কেন একটি নিরাপত্তা-প্রথম মানসিকতা অ্যাপ্লিকেশন বিকাশের মধ্যে এত গুরুত্বপূর্ণ, তারা কখনই কিনতে যাচ্ছে না কিভাবে এটা অর্জন করা যেতে পারে। সমগ্র উন্নয়ন সংস্থার জন্য সমন্বিত এবং অবিচ্ছিন্ন প্রয়োগ সুরক্ষা শিক্ষা তাই এর চেয়ে বেশি গুরুত্বপূর্ণ ছিল না। যারা কোড তৈরি করছেন তাদের জন্য, হ্যান্ডস-অন ব্যায়াম করার আগে মৌলিক শিক্ষা প্রদান করা গুরুত্বপূর্ণ যা তারা দৈনন্দিন ভিত্তিতে যে সমস্যাগুলির মুখোমুখি হয় তা সরাসরি কথা বলে। এই বিকাশকারী-নির্দিষ্ট শিক্ষাটি SDLC-তে যাদের ভূমিকা রয়েছে তাদের জন্য ভিত্তিগত এবং উন্নত অ্যাপ্লিকেশন সুরক্ষা প্রশিক্ষণ প্রোগ্রামগুলির সাথে সমান্তরালভাবে চালানো উচিত যার অগত্যা হ্যান্ড-অন দক্ষতার প্রয়োজন নেই। এই ধরনের উদ্যোগগুলি পুরো দলকে ভিন্নভাবে চিন্তা করতে, আরও সচেতন সিদ্ধান্ত নিতে এবং উন্নয়নের প্রতিটি দিক জুড়ে নিরাপত্তাকে একীভূত করতে সক্ষম করবে।
তবুও এটি গুরুত্বপূর্ণ যে সংস্থাগুলি বুঝতে পারে যে অ্যাপ্লিকেশন সুরক্ষা ক্রমাগত বিকশিত হয় এবং পরিবর্তিত হয়। একটি নিরাপত্তা-মনস্ক দল তৈরি করা যারা উন্নয়ন চক্রের প্রতিটি ধাপে মূল AppSec নীতিগুলি প্রয়োগ করে একটি "একটি এবং সম্পন্ন" প্রশিক্ষণ প্রোগ্রাম দিয়ে সম্পন্ন করা যায় না। দলগুলি এই নিরাপত্তা-প্রথম মানসিকতা বজায় রাখে তা নিশ্চিত করার জন্য, একটি অব্যাহত এবং বিকশিত শিক্ষামূলক প্রোগ্রাম গুরুত্বপূর্ণ।
অনেক সংস্থা নিরাপত্তা চ্যাম্পিয়নদের স্বীকৃতি এবং উদযাপন করে দলকে জড়িত করে, যারা দল জুড়ে নিরাপত্তা আচরণে পরিবর্তনের নেতৃত্ব দেয়। যারা তাদের প্রতিদিনের কাজে ধারাবাহিকভাবে নিরাপত্তার সর্বোত্তম অনুশীলন প্রয়োগ করছে তাদের উদ্দীপনা বা পুরষ্কার প্রদানের মাধ্যমে, তারা চ্যাম্পিয়নদের অন্যদের জড়িত করতে এবং পরিবর্তনকে জৈবিকভাবে প্রভাবিত করতে উত্সাহিত করে। উদাহরণ স্বরূপ, ফলাফল পরিমাপ করে — যেমন প্রশিক্ষণ প্রোগ্রামের আগে এবং পরে একটি কোডে দুর্বলতার সংখ্যা — এবং সাফল্য স্বীকার করে, বোর্ড থেকে কেনাকাটা করা এবং সিদ্ধান্ত গ্রহণকারীদের কাছে নিরাপদ কোডিং শিক্ষায় বিনিয়োগের ন্যায্যতা প্রমাণ করাও অনেক সহজ। .
দ্রুত উদ্ভাবন করা এবং বাজারের প্রতিযোগীতাকে পরাজিত করা এবং নিরাপত্তাকে প্রথমে রাখা সম্ভব যখন SDLC-এর লোকেরা নিরাপত্তাকে সর্বোচ্চ অগ্রাধিকার দেয়। প্রকৃতপক্ষে, দুর্বলতার সংখ্যা বাড়তে থাকায় এবং সাইবার আক্রমণগুলি ধীর হওয়ার কোনো লক্ষণ দেখায় না, যে কোনো অ্যাপ্লিকেশন সফল হওয়ার জন্য নিরাপদে কোডিং করা আবশ্যক। যতক্ষণ না সমগ্র SDLC-কে অবিচ্ছিন্ন, পূর্বনির্ধারিত, এবং পরিমাপযোগ্য শিক্ষার উদ্যোগে বিবেচনা করা হয়, ততক্ষণ নিরাপত্তা হবে না আছে এটি ভাল হওয়ার আগে খারাপ হতে।
