در سخنرانی افتتاحیه 2022 کلاه سیاه کنفرانس امنیتی، کریس کربس, the former Department of Homeland Securities cybersecurity director, stated that security is going to get worse before it gets better. Why? Krebs said that “software remains vulnerable because the benefits of insecure products far outweigh the downsides.” Rather than ensuring security, the focus across the software development life cycle (SDLC) is beating the competition to market. In fact, innovation is often seen at odds with security — the former believed to be fast-paced and productive, and the latter a roadblock that stifles quick-moving application development. This view is proving to be outdated in the current threat landscape.
با افزایش حملات سایبری، زنجیره تامین نرمافزار یک هدف محبوب برای مجرمان سایبری است که اختلال عظیمی را که هنگام آلوده کردن کد ناامن ایجاد میکنند، تشخیص میدهند. به عنوان مثال، در حال حاضر بدنام Log4Shell آسیبپذیری چنین خطری را ایجاد میکند، زیرا Log4j منبع باز بسیار رایج در برنامههای نرمافزاری و سرویسهای آنلاین در سراسر جهان استفاده میشود، و بهرهبرداری از این آسیبپذیری به تخصص بسیار کمی نیاز دارد. اخیراً، 25,000 افزونه مخرب یافت شده در سراسر سایت های وردپرس، خطر امنیت سایبری را که بسیاری از کسب و کارها با آن مواجه هستند، نشان می دهد، علیرغم اینکه معتقدند از برنامه ها و برنامه های امن در وب سایت خود استفاده می کنند.
بنابراین، نوآوری و امنیت را باید از طریق یک دریچه مشاهده کرد. یکی بدون دیگری ممکن نیست حتی مهمتر از آن، امنیت دیگر نمی تواند بر عهده یک تیم مستقل باشد. این باید یک اولویت برای همه در سراسر SDLC باشد.
معضل AppSec
Despite increased investment into application development, the same importance isn’t being applied to security. In such a competitive space, first movers tend to get the reward. Those that enter the market with their “first viable product” are likely looking at how this product can serve customers, not how it can be used securely. With these high expectations, code demands on developers have increased بار 100 در طول 10 سال گذشته، 92٪ احساس می کردند که برای نوشتن سریعتر کد تحت فشار هستند. این را با این واقعیت جفت کنید ٪۱۰۰ هیچ آموزش کد نویسی ایمن حرفه ای ندارند، در حالی که تعداد آسیب پذیری های جدید در داخل NIST National Vulnerability Database has increased by over 200% in the past several years, and it seems we’re in something of an application security dilemma.
However, it is not an unsolvable dilemma. The solution requires a complete switch-up in the way that many view coding and innovation, with a specific focus on the mindset of the people. It puts security first and recognizes that it’s OK to be slower to market if the end product is more secure. According to Boehm’s law, “the cost of finding and fixing a defect grows exponentially with time” — a concept that can benefit the bottom line of organizations that prioritize security from the start.
ایجاد این طرز فکر امنیتی بسیار مهم است - نه فقط برای تیم توسعه، بلکه برای همه کسانی که در SDLC نقش ایفا می کنند. مدیران محصول و پروژه، DevOps، طراحان تجربه کاربر (UX) و متخصصان تضمین کیفیت (QA) همگی بر نتیجه نهایی تأثیر خواهند گذاشت و بنابراین باید معضل فعلی امنیت برنامه و نحوه غلبه بر این چالش را تشخیص دهند.
دریافت آموزش یکپارچه درست
اگر تیم ها متوجه نمی شوند چرا یک طرز فکر امنیت در توسعه برنامه بسیار مهم است که آنها هرگز قصد خرید آن را ندارند چگونه می توان به آن دست یافت. بنابراین آموزش امنیت برنامه یکپارچه و مستمر برای کل سازمان توسعه هرگز مهمتر از این نبوده است. برای کسانی که کد را ایجاد می کنند، مهم است که قبل از تمرینات عملی که مستقیماً به مسائلی که روزانه با آن ها روبرو می شوند صحبت کنند، یادگیری پایه ای ارائه دهند. این آموزش ویژه توسعهدهندگان باید به موازات برنامههای آموزشی امنیتی برنامههای کاربردی پایه و پیشرفته برای کسانی که نقشهایی در SDLC دارند اجرا شود که ممکن است لزوماً به تخصص عملی نیاز نداشته باشند. این نوع ابتکارات به کل تیم قدرت میدهد تا متفاوت فکر کنند، تصمیمات آگاهانهتری بگیرند و امنیت را در تمام جنبههای توسعه یکپارچه کنند.
Yet it is important that organizations understand that application security constantly evolves and changes. Building a security-minded team who apply key AppSec principles at every step of the development cycle can’t be accomplished with a “one and done” training program. To ensure teams maintain this security-first mindset, a continued and evolving educational program is key.
بسیاری از سازمانها با قدردانی و تجلیل از قهرمانان امنیتی که منجر به تغییر رفتار امنیتی در سراسر تیم میشوند، تیمها را درگیر میکنند. آنها با ارائه انگیزه یا پاداش به کسانی که به طور مداوم بهترین شیوه های امنیتی را در کار روزمره خود به کار می برند، قهرمانان را تشویق می کنند تا دیگران را درگیر کنند و به طور ارگانیک بر تغییر تأثیر بگذارند. به عنوان مثال، با اندازهگیری نتایج - مانند تعداد آسیبپذیریها در یک کد قبل و بعد از برنامههای آموزشی - و تشخیص موفقیت، دریافت خرید از هیئت مدیره و توجیه سرمایهگذاری در آموزش کدگذاری امن برای تصمیمگیرندگان نیز بسیار آسانتر است. .
نوآوری سریع و شکست دادن رقبا در بازار در حالی که امنیت را در اولویت قرار می دهد زمانی امکان پذیر است که افراد SDLC امنیت را در اولویت قرار دهند. در واقع، با افزایش تعداد آسیبپذیریها و حملات سایبری هیچ نشانهای از کاهش سرعت را نشان نمیدهند، کدنویسی ایمن برای موفقیت هر اپلیکیشنی ضروری است. تا زمانی که کل SDLC در ابتکارات آموزشی مستمر، سفارشی و قابل اندازه گیری در نظر گرفته شود، امنیت وجود ندارد. داشته باشد قبل از اینکه بهتر شود بدتر شود.