Что означает «сдвиг безопасности влево»?
«Безопасность сдвига влево» относится к модели разработки программного обеспечения, которая с самого начала полностью учитывает безопасность. До недавнего времени безопасность, как правило, находилась в самом конце процесса в форме оперативного аудита. Это затрудняет видимость вашего общего состояния безопасности, позволяя угрозам проскользнуть незамеченными.
Концепция смещения влево — жизненно важная часть DevSecOps, расширения DevOps, которое рассматривает безопасность как первоклассный компонент. Он пытается устранить разрыв между разработчиками, операционными группами и экспертами по безопасности, побуждая все заинтересованные стороны ежедневно думать о более широкой картине безопасности.
Проектирование для обеспечения безопасности
Принимая во внимание безопасность в начале, вы с большей вероятностью получите водонепроницаемую систему. Оставив это специальной команде в конце, вы увеличиваете вероятность того, что вы не заметите проблемы, скрытые глубоко в путях кода.
Смещение безопасности влево должным образом признает ее важность и возлагает на большее количество людей ответственность за ее реализацию. Разработчики должны знать об общих последствиях безопасности своего кода, не полагаясь на аудиты специальной группы. Это не значит, что отдельная команда совершенно излишня: проверка перед запуском по-прежнему является хорошей идеей, но она должна занимать меньше времени, если безопасность уже заложена с самого начала.
Измененный подход помогает формировать продуктивную культуру DevOps. Сотрудничество между командами улучшается за счет параллельного обсуждения вопросов разработки и безопасности, а не строгого линейного потока.
Разработчики должны иметь представление о контексте безопасности на уровне приложения и организации, в котором будет работать их код. Некоторые меры безопасности, такие как надежное шифрование паролей и проверка ключей, уже де-факто используются по умолчанию; другие, такие как активное сканирование уязвимостей и повсеместный аудит событий, значительно различаются между организациями. Они могут быть опущены новыми разработчиками, незнакомыми со стандартами безопасности проекта.
Работники службы безопасности также должны понимать точку зрения команды разработчиков. Внедрение самых строгих мер безопасности может усложнить код, увеличивая сроки проекта. Это касается групп управления проектами и заинтересованных сторон бизнеса, которые также выигрывают от лучшего понимания состояния безопасности приложения.
Помимо ваших программных компонентов, вы также должны обратить внимание на свой сетевой стек и любые физические устройства в вашей инфраструктуре. В частности, продукты Интернета вещей могут иметь уникальные недостатки, которые позволяют злоумышленникам закрепиться в вашей системе. Люди, которые контролируют эти системы, также должны быть проинформированы о ваших базовых показателях безопасности.
Как сделать сдвиг влево?
Сдвиг влево — это не то, что происходит за одну ночь. Эффективный сдвиг зависит от изменения мышления во всей организации. Вы можете провести полдня, обсуждая вопросы безопасности во время всеобщего обсуждения, но если изменения не будут введены в действие, протестированы и повторены, ваше положение будет не лучше, чем утром.
Прежде всего, важно определить основные требования безопасности для вашей системы. Четко задокументированный набор технических основ, процедурных процедур и базовых показателей соответствия приводит всех к одной и той же странице, независимо от того, приходят ли они из «dev», «sec» или «ops». В качестве отправной точки вы можете использовать популярные стандарты сообщества, такие как рекомендации OWASP.
Затем посмотрите на существующий процесс. При чем здесь безопасность? Если это ваша первая попытка сместить безопасность влево, вы можете обнаружить, что безопасность находится далеко вправо. Проанализируйте свой процесс, чтобы определить, где безопасность может занять свое место. В каких обсуждениях должна упоминаться безопасность?
Вы хотите, чтобы это было как можно раньше, но точное положение зависит от организации. В идеальном мире безопасность будет рассматриваться после того, как функциональность проекта будет полностью определена, но до того, как будет выбрана надежная техническая архитектура. Это дает вам возможность делать выбор в пользу безопасности, не беспокоясь о том, что вам придется начинать заново, когда будет определена спецификация.
Перед началом разработки предоставьте всем обзор модели безопасности системы. Возложите на разработчиков обязанность следить за внедрением технических стандартов, в то время как операционные группы следят за тем, чтобы производственная среда соответствовала согласованным вами базовым параметрам.
Добавление инструментов
Во время и после разработки код следует проверять, подвергать сомнению и сканировать, чтобы убедиться, что он действительно работает так, как задумано. Вам нужен способ проверки кода и компонентов инфраструктуры, обладающих указанными вами качествами.
К счастью, инструменты безопасности развиваются теми же темпами, что и методологии, которым они помогают. Автоматическое сканирование уязвимостей позволяет разработчикам проверять безопасность кода, не увеличивая время, затрачиваемое на его написание. Точно так же сканирование сторонних зависимостей, используемых в проектах, помогает защититься от растущей волны атак на цепочку поставок.
Вы можете использовать новое поколение инструментов нечеткого тестирования API для проведения сканирования безопасности ваших рабочих конечных точек. Это может помочь выявить проблемы, которые проявляются только в определенных сценариях, улучшая охват тестированием безопасности.
Другой аспект инструментов касается повседневного опыта разработчиков. Использование линтеров и плагинов в редакторе обеспечивает немедленную построчную обратную связь, помечая проблемы в момент их ввода в код. Эффективная стратегия обзора и слияния гарантирует, что каждое изменение будет замечено множеством людей.
Автоматизируйте как можно больше элементов управления. Это сокращает потери времени и помогает удерживать членов команды на борту. Усложнение процесса может привести к разочарованию, что в конечном итоге побудит разработчиков искать способы обойти проверки безопасности.
Преимущества смещения влево
Организации, которые успешно смещаются влево, получают выгоду от улучшенного состояния безопасности, которое со временем становится более удобным в обслуживании. Это приводит к культуре, ориентированной на безопасность, где все понимают элементы управления системой и почему они присутствуют.
Сдвиг безопасности влево также может улучшить качество кода и привести к более продвинутым архитектурным решениям. Обеспечение безопасности с самого начала может выявить альтернативные стратегии, которые решают более широкие проблемы, чем только безопасность. Он также продвигает современные методы разработки, поощряя использование автоматизированных инструментов.
Модель также может уменьшить давление в день выпуска. Нет никакой сумасшедшей борьбы за аудит решений, прежде чем они будут запущены, поскольку они будут постоянно оцениваться на протяжении всего процесса разработки. Раннее обнаружение проблем, как правило, облегчает и удешевляет их устранение. Если проблема безопасности обнаружена в процессе разработки, ее можно безопасно решить без какого-либо воздействия на данные клиентов.
Краткое содержание
«Сдвиг влево» означает повышение роли безопасности в жизненном цикле разработки программного обеспечения до уровня приоритета и постоянной ссылки. Это бросает вызов представлению о том, что о безопасности часто думают задним числом, оценивая ее в спешке непосредственно перед запуском новой системы.
Решение проблем безопасности в первый же день дает вам больше спокойствия, более тесное сотрудничество между членами команды и более раннее обнаружение проблем. Вы не будете гоняться за проблемами безопасности в конце дня, так как они обнаружатся во время планирования, разработки или проверки кода. Это помогает релизам течь плавно и безопасно.
Перемещение безопасности влево хорошо сочетается с другими современными концепциями, такими как облачные методологии и процедуры DevOps. Все они помогают создавать более отказоустойчивое программное обеспечение в более короткие сроки без ущерба для удобства разработчиков. В связи с ростом числа кибератак, уделив время лучшей интеграции безопасности в процесс разработки, вы сможете защитить свои данные и своих клиентов от новых угроз.