I 2025 i alt global dataoprettelse will reach 181 zettabytes. For enterprises, that data is an asset, allowing them to leverage a variety of technology platforms to create highly personalized customer experiences that engender loyalty and attract new business. However, these experiences are dependent on cloud infrastructures using shared security modes. That’s where the risk lies, and it’s increasing as technology grows to incorporate a new army of citizen developers using low-code and no-code platforms.
Forståelse og overvindelse af arvstankegangen
Gartner anslår, at i 2025 vil 70 % af virksomhedsapplikationer være bygget fra lav-kode og ingen-kode platforme såsom Salesforce og ServiceNow. At reagere med en arvebaseret tankegang er en sikker måde at indstille mere end to tredjedele af virksomhedsapps til at mislykkes.
“Inheritance mindset” is an apt descriptor for the problems plaguing infrastructure. It brings to mind a rich, spoiled children who are entirely dependent on the work done and people who came before them. That’s not a good way to build a legacy, and it’s an equally bad way to build a system.
Når du har en legacy mindset, antager du, at infrastrukturen er sat. Platformen er sikker, og sikkerheden er indbygget. Tillid antages simpelthen fordi teknologien var der før administratoren.
Denne arvetankegang plager platforme med lav kode og ingen kode. Brugere er afhængige af sikkerheden ved en platform til at transportere dem gennem en hel virksomhedsinfrastruktur. I stedet bør sikkerheden på den pågældende platform kun gælde for den pågældende platform.
Let’s say Salesforce developers create an automated assignment program for new leads. They use it within Salesforce for internal assignments, and it’s fine. They can rely on the safety of the platform. They decide to expand it to improve automation. They connect that program to an external-facing CRM like ServiceNow, SAP, or Oracle. The inheritance mindset takes over: Salesforce is safe. ServiceNow, SAP or the third-party is safe.
Så Salesforce + tredjepart = sikker.
But, there’s a great deal of unknown in that plus sign. How do you safely and compliantly connect the internal program created in Salesforce to the external program created in the third-party platform? There is a lot of room for error in that single character.
Og det er kun én forbindelse. Mange programmer oprettet i Salesforce berører hundredvis af andre. Det er hundredvis af ukendte, der behandles som plustegnet beskrevet ovenfor af folk, der har lidt eller ingen udviklingserfaring.
Den eneste løsning er at tage den udvikling tilbage på jorden med en tilbagevenden til DevSecOps-principperne.
Etablering af DevSecOps Framework
DevSecOps rammer er blevet skrevet, omskrevet og skrevet igen, siden konceptet blev skabt. Der er ingen grund til at genopfinde hjulet, når du etablerer dem, især når SAFECode og Cloud Security Alliance har bygget seks søjler:
- Kollektivt ansvar: Sikkerhed er hver person i virksomhedens ansvar – men folk kan ikke opfylde standarder, de ikke kender. Leads bør tildeles til at drive cybersikkerhedspolitik og sikre, at den formidles på tværs af virksomheden.
- Samarbejde og integration: Viden skal deles og overføres. Halvdelen af grunden til, at virksomheder falder ind i den gamle tankegang, er, at alle, der kendte det gamle system, er væk. Kontinuerlig videndeling hjælper med at eliminere dette problem.
- Pragmatisk implementering: Pragmatisk implementering knytter sig til udvikleroplevelsen. Processer, der er svære, hverdagsagtige og uhåndterlige, følges ikke længe. Sikkerhed bør indbygges i udviklingspraksis - det vil sige, at hver linje kode kræver en testlinje. En højtydende virksomhed ville tage det videre ved at bruge et værktøj til at automatisere hver linje med testkode.
- Overholdelse og udvikling: Overholdelseskrav bør styre udviklingsprocessen på en måde, der ikke tillader udviklere at afvige fra dem. En udvikler for en finansiel institution ville for eksempel arbejde på en platform, der er designet til at være i overensstemmelse med Gramm-Leach-Bliley Act. Udvikleren behøver ikke at kende de enkelte ins og outs af handlingen for at være kompatibel, fordi de er indbygget i platformen.
- Automation: Opgaver, der er forudsigelige, gentagelige og store mængder, bør automatiseres, når det er muligt, for at fjerne byrden fra udviklere og reducere risikoen for menneskelige fejl.
- Monitor: Moderne cloud-infrastrukturer ændrer sig og vokser. Det er vigtigt at holde styr på det - ideelt set gennem en eller anden form for orkestrering, der giver et overblik over alle de forskellige sammenkoblinger.
I en lav- eller ingen kode miljø, er disse søjler ikke så ligetil, som man kunne forvente. De mennesker, der bruger disse værktøjer, er ofte forretningseksperter med ringe kendskab til DevSecOps-grundlæggende.
At bringe mennesker, processer og teknologi sammen
Brugen af lav-kode og ingen-kode platforme kan faktisk hjælpe med at lukke denne kompetencekløft. Medarbejderne ønsker at lære nye færdigheder. Virksomheder kan understøtte dette ved at etablere en DevSecOps-ramme med fokus på mennesker, processer og teknologi.
- Processer: I et miljø med nul tillid behøver udviklere med lav kode og ingen kode ikke at bekymre sig om at oprette forbindelser, der bringer systemets integritet i fare, fordi de er ude af stand til at gøre det. De har ingen baseline-autoritet uden for deres isolerede system.
- Mennesker: En ansvarlighedskultur er forskellig fra en skyldkultur. Ansvarlighed betyder, at individer føler sig trygge ved at komme frem med et problem eller en fejl, fordi fokus er på problemet, ikke personen.
- Teknologi: Technology is the single biggest barrier to proper implementation of DevSecOps principles because it is out of the developers’ hands. They must use what the organization gives them. If that technology doesn’t work, developers will come up with workarounds that are neither secure nor safe. Essentially, the technology becomes one big shadow IT generator.
Vi lever i en spændende udviklingstid. Flere og flere mennesker har mulighed for at bygge software, teste strategier og forbedre forretningsværdien. Men med det følger risiko. Virksomheder, der ser på måder at overføre denne risiko til teknologien, vil holde deres udvikling nede på jorden, mens de giver plads til at udforske.
