A biztonság folyamat, nem termék – Bruce Schneier, amerikai számítógépbiztonsági és adatvédelmi szakember.

A biztonsági rést kihasználó kiberbűnözők betörhetnek a vállalat rendszerébe és komoly károkat okozhatnak.

Ez természetesen a legrosszabb eshetőség, de már az is kellemetlen, ha a szoftverfejlesztési ciklus utolsó fázisában kell orvosolni a problémát, amikor a javítás már jelentős mennyiségű időbe és energiába kerül. Jobb felkészülni, hogyan gondoskodhatnak a vállalatok az alkalmazások biztonságáról jól átgondolt stratégia és fejlett eszközök segítségével.

A Micro Focus összegyűjtötte azt a négy legfontosabb gyakorlatot, amit az ügyfelei közé tartozó, ismertebb nagyvállalatok is alkalmaznak.

1. Teszt: minél előbb, annál jobb!

Minél később fedezik fel a biztonsági réseket és hibákat a szoftverfejlesztési folyamat során, annál többe kerül a kijavításuk. Ezért az alkalmazásbiztonság optimalizálásához kulcsfontosságú, hogy a lehető legkorábban azonosítsák és orvosolják ezeket a sebezhetőségeket. Az alkalmazásbiztonságért felelős csapatoknak minél több biztonsági és kódellenőrzési folyamatot kell bevezetniük a szervezet integrált fejlesztési környezetébe (integrated development environment – IDE), de csak addig a szintig, amíg ez nem rontja a fejlesztők hatékonyságát.

A kódellenőrző funkciók integrálása segíthet a fejlesztőknek abban, hogy a kódírás során a biztonságra is odafigyeljenek, illetve biztonságosabb kódolási módszereket sajátítsanak el. Ilyen lehetőséget kínálnak a statikus elemző eszközök, köztük a Fortify Static Code Analyzer. A kódszerkesztési folyamatok során azonban csupán a legegyszerűbb vizsgálatokat érdemes lefuttatni. További alaposabb teszteket a fejlesztési ciklus későbbi pontjain célszerű alkalmazni.

2. Önkiszolgáló eszközöket minden fejlesztőnek

Az alkalmazásbiztonságért felelős szakembereknek azt is biztosítaniuk kell, hogy a biztonsági eszközöket egyszerűen lehessen használni és igény szerint futtatni. Ha a fejlesztők maguk is képesek azonosítani és javítani a biztonsági hibákat, akkor a fejlesztési folyamat is agilisabbá válik, és jobban összhangba kerül az olyan folyamatos integrációs módszerekkel, mint például a DevOps.

Szintén segíti és gyorsítja a fejlesztők munkáját, ha automatizált és önkiszolgáló eszközökkel, önállóan gondoskodhatnak az alkalmazások biztonságáról. A Micro Focus alkalmazásbiztonsági portfóliója számos olyan hasznos eszközt tartalmaz, amelyek segítségével automatizáltan felkutathatók, rangsorolhatók és javíthatók a hibák.

3. Mindenkivel a saját nyelvén

A vállalatok eltérő szintjein tevékenykedő szakembereknek különböző rálátásuk kell legyen az alkalmazásbiztonságra. A menedzsmentnek általában magas szintű, átfogó jelentésre van szüksége, illetve specifikus mutatókra, amelyekkel nyomon követhető az alkalmazásbiztonság állapotának előrehaladása.

Míg a fejlesztők egyszerűen a többi hibához hasonló, kijavítandó „bug”-ként tekintenek a biztonsági problémákra. Ezért nekik az ő nyelvükön kell kifejezni az ehhez kapcsolódó információkat és teendőket. Emellett az alkalmazásbiztonságért felelős szakembereknek olyan teljesítménymutatókat (KPI) is érdemes használniuk, amelyekkel mérni tudják a biztonsági állapotot.

4. Biztonsági kultúra

Végül, de nem utolsósorban arra is fontos figyelmet fordítaniuk a cégeknek, hogy erős biztonsági kultúrát építsenek ki. Ahelyett, hogy „kötelezővé tennék” minden fejlesztő számára, hogy foglalkozzon a biztonsággal is, érdemes inkább megkeresni azokat a szakembereket, akik szívesen sajátítanak el minden hasznos információt a biztonságos kódoláshoz. Az ilyen lelkes és érdeklődő kollégák támogatásával hatékonyabb biztonsági programot lehet működtetni és jobb eredményeket lehet elérni.

Borítóképünk illusztráció