2025 yılına kadar toplam küresel veri oluşturma 181 zettabayta ulaşacak. İşletmeler için bu veriler, bağlılık yaratan ve yeni işler çeken son derece kişiselleştirilmiş müşteri deneyimleri oluşturmak için çeşitli teknoloji platformlarından yararlanmalarına olanak tanıyan bir varlıktır. Ancak bu deneyimler, paylaşılan güvenlik modlarını kullanan bulut altyapılarına bağlıdır. Riskin yattığı yer burasıdır ve teknoloji büyüdükçe, düşük kodlu ve kodsuz platformlar kullanan yeni bir yurttaş geliştirici ordusunu bünyesine dahil ettikçe risk de artıyor.
Miras Zihniyetini Anlamak ve Aşmak
Gartner 2025 yılına kadar kurumsal uygulamaların %70'inin Salesforce ve ServiceNow gibi az kodlu ve kodsuz platformlardan oluşturulacağını tahmin ediyor. Mirasa dayalı bir zihniyetle yanıt vermek, kurumsal uygulamaların üçte ikisinden fazlasını başarısızlığa hazırlamanın kesin bir yoludur.
“Miras zihniyeti” altyapıyı rahatsız eden sorunlar için uygun bir tanımlayıcıdır. Tamamen yapılan işe ve kendilerinden önce gelen insanlara bağımlı olan zengin, şımarık çocukları akla getirir. Bu bir miras oluşturmanın iyi bir yolu değil ve bir sistem kurmanın da aynı derecede kötü bir yolu.
Eski bir zihniyete sahip olduğunuzda altyapının hazır olduğunu varsayarsınız. Platform güvenlidir ve güvenlik yerleşiktir. Güven, yalnızca teknolojinin yöneticiden önce mevcut olması nedeniyle varsayılır.
Bu miras zihniyeti, düşük kodlu ve kodsuz platformları rahatsız ediyor. Kullanıcılar, kendilerini tüm kurumsal altyapı boyunca taşımak için platformun güvenliğine güvenirler. Bunun yerine o platformun güvenliği yalnızca o platform için geçerli olmalıdır.
Salesforce geliştiricilerinin yeni potansiyel müşteriler için otomatik bir atama programı oluşturduğunu varsayalım. Bunu Salesforce'ta dahili görevler için kullanıyorlar ve bunda bir sorun yok. Platformun güvenliğine güvenebilirler. Otomasyonu geliştirmek için genişletmeye karar verirler. Bu programı ServiceNow, SAP veya Oracle gibi harici bir CRM'ye bağlarlar. Miras zihniyeti devreye giriyor: Salesforce güvende. ServiceNow, SAP veya üçüncü taraf güvendedir.
Yani Salesforce + üçüncü taraf = güvenli.
Ancak bu artı işaretinde pek çok bilinmeyen var. Salesforce'ta oluşturulan dahili programı üçüncü taraf platformunda oluşturulan harici programa güvenli ve uyumlu bir şekilde nasıl bağlarsınız? Bu tek karakterde hataya çok yer var.
Ve bu yalnızca bir bağlantıdır. Salesforce'ta oluşturulan birçok program yüzlerce başka programa dokunuyor. Bu, geliştirme deneyimi çok az olan veya hiç olmayan kişiler tarafından yukarıda açıklanan artı işareti gibi ele alınan yüzlerce bilinmeyendir.
Tek çözüm, DevSecOps ilkelerine geri dönüşle bu gelişmeyi hayata geçirmektir.
DevSecOps Çerçevesinin Kurulması
DevSecOps Konsept oluşturulduğundan beri çerçeveler yazıldı, yeniden yazıldı ve yeniden yazıldı. Bunları oluştururken tekerleği yeniden icat etmeye gerek yok, özellikle de SAFECode ve Bulut Güvenliği İttifakı altı sütun inşa etti:
- Toplu sorumluluk: Güvenlik, kuruluştaki herkesin sorumluluğundadır; ancak insanlar bilmedikleri standartları karşılayamazlar. Siber güvenlik politikasını yönlendirmek ve bunun kurum genelinde yayılmasını sağlamak için potansiyel müşteriler atanmalıdır.
- İşbirliği ve entegrasyon: Bilgi paylaşılmalı ve aktarılmalıdır. İşletmelerin eski zihniyete düşmesinin bir nedeni de eski sistemi bilen herkesin gitmiş olmasıdır. Sürekli bilgi paylaşımı bu sorunun ortadan kaldırılmasına yardımcı olur.
- Pragmatik uygulama: Pragmatik uygulama, geliştirici deneyimine bağlanır. Zor, sıradan ve hantal süreçler uzun süre takip edilmiyor. Güvenlik, geliştirme uygulamalarına dahil edilmelidir; yani her kod satırı bir test satırı gerektirir. Yüksek performanslı bir kuruluş, test kodunun her satırını otomatikleştirecek bir araç kullanarak bunu daha da ileri götürebilir.
- Uyumluluk ve geliştirme: Uyumluluk gereksinimleri, geliştiricilerin bu gereksinimlerden sapmasına izin vermeyecek şekilde geliştirme sürecine rehberlik etmelidir. Örneğin bir finans kurumunun geliştiricisi, Gramm-Leach-Bliley Yasası ile uyumlu olacak şekilde tasarlanmış bir platform üzerinde çalışacaktır. Geliştiricinin uyumlu olması için yasanın tüm ayrıntılarını bilmesine gerek yoktur çünkü bunlar platformda yerleşiktir.
- Otomasyon: Geliştiricilerin üzerindeki yükü ortadan kaldırmak ve insan hatası riskini azaltmak için öngörülebilir, tekrarlanabilir ve yüksek hacimli görevler mümkün olduğunda otomatikleştirilmelidir.
- Monitör: Modern bulut altyapıları değişiyor ve büyüyor. İdeal olarak tüm çeşitli ara bağlantıların bir bakışta görülebilmesini sağlayan bir tür orkestrasyon yoluyla bunu takip etmek hayati önem taşır.
İçinde düşük kodlu veya kodsuz Bu sütunlar beklenildiği kadar basit değildir. Bu araçları kullanan kişiler genellikle DevSecOps'un temelleri hakkında çok az bilgisi olan iş uzmanlarıdır.
İnsanları, Süreçleri ve Teknolojiyi Bir Araya Getirmek
Az kodlu ve kodsuz platformların kullanılması aslında bu beceri açığının kapatılmasına yardımcı olabilir. Çalışanlar yeni beceriler öğrenmek istiyor. Kuruluşlar, insanlara, süreçlere ve teknolojiye odaklanan bir DevSecOps çerçevesi oluşturarak bunu destekleyebilir.
- Süreçler: Sıfır güven ortamında, düşük kodlu ve kodsuz geliştiricilerin sistem bütünlüğünü tehlikeye atacak bağlantılar yapma konusunda endişelenmelerine gerek yoktur çünkü bunu yapamayacaklardır. Yalıtılmış sistemleri dışında temel bir yetkileri yoktur.
- Kişiler: Sorumluluk kültürü, suçlama kültüründen farklıdır. Sorumluluk, bireylerin bir sorun ya da hatayla rahatça öne çıkmaları anlamına gelir çünkü odak kişi değil, konu üzerindedir.
- Teknoloji: Teknoloji, DevSecOps ilkelerinin doğru şekilde uygulanmasının önündeki en büyük engeldir çünkü geliştiricilerin elinde değildir. Kuruluşun onlara verdiklerini kullanmaları gerekir. Bu teknoloji işe yaramazsa geliştiriciler ne güvenli ne de güvenli olan geçici çözümler bulacaklardır. Temel olarak teknoloji, büyük bir gölge BT jeneratörüne dönüşüyor.
Gelişim için heyecan verici bir zamanda yaşıyoruz. Giderek daha fazla insan yazılım geliştirme, stratejileri test etme ve iş değerini artırma fırsatına sahip oluyor. Ancak bununla birlikte risk de gelir. Bu riski teknolojiye yüklemenin yollarını arayan şirketler, keşfetmeye yer bırakırken gelişimlerini gerçekçi tutacak.
