Γιατί απαιτείται εξαρχής η ασφάλεια του προγραμματιστή, από την πρωτοπόρο DevSecOps Snyk

Γιατί απαιτείται εξαρχής η ασφάλεια του προγραμματιστή, από την πρωτοπόρο DevSecOps Snyk

Dezember 14, 2022 0 Von admin

Δείτε όλες τις κατ‘ απαίτηση συνεδρίες από το Intelligent Security Summit εδώ.


Οι προγραμματιστές (και, επομένως, οι οργανισμοί) βασίζονται όλο και περισσότερο στον ανοιχτό κώδικα λόγω της ευκολίας χρήσης και της συνεργατικής, εξελισσόμενης, ευέλικτης και οικονομικής φύσης του. Με μια εκτίμηση, 78% του κώδικα στις βάσεις κώδικα είναι ανοιχτού κώδικα.

Ταυτόχρονα, κινδυνεύει λόγω μιας σειράς ζητημάτων ασφαλείας: Τουλάχιστον το 81% των βάσεων κώδικα με στοιχεία ανοιχτού κώδικα περιέχουν τουλάχιστον μία ευπάθεια.

Αυτό οδήγησε στο DevSecOps, μια μέθοδο που εισάγει την ασφάλεια νωρίτερα στον κύκλο ζωής ανάπτυξης λογισμικού.

«Οι εφαρμογές λογισμικού κατασκευάζονται με προγραμματιστές που ενεργούν ως μέρος μιας σύγχρονης γραμμής συναρμολόγησης, όπου δημιουργούν εφαρμογές χρησιμοποιώντας ξανά κώδικα λογισμικού από πολλά μέρη», δήλωσε ο Peter McKay, Διευθύνων Σύμβουλος της πλατφόρμας ασφαλείας προγραμματιστών. Snyk. «Συνεπώς, αυτό σημαίνει ότι οποιοδήποτε κομμάτι κώδικα που χρησιμοποιούν θα μπορούσε να περιέχει ζητήματα ασφαλείας».

Εκδήλωση

Ευφυής Σύνοδος Κορυφής Ασφάλειας Κατ‘ Απαίτηση

Μάθετε τον κρίσιμο ρόλο του AI & ML στην ασφάλεια στον κυβερνοχώρο και τις ειδικές περιπτωσιολογικές μελέτες του κλάδου. Παρακολουθήστε τις συνεδρίες κατ‘ απαίτηση σήμερα.

Παρακολουθήστε εδώ

Για να ενισχύσει την πλατφόρμα της που ενδυναμώνει τη συμμετοχή προγραμματιστών στη διαδικασία ασφάλειας, η Snyk ανακοίνωσε αυτή την εβδομάδα έναν κύκλο χρηματοδότησης της σειράς G ύψους 196,5 εκατομμυρίων δολαρίων. Αυτό ανεβάζει την αποτίμηση της εταιρείας κοντά στα 7,4 δισεκατομμύρια δολάρια.

«Στη δημιουργική διαδικασία, οι προγραμματιστές δεν θα πρέπει να ανησυχούν για ζητήματα ασφάλειας», είπε ο McKay. «Χρειάζονται ευελιξία, αποτελεσματικότητα και ψυχική ηρεμία για να κάνουν το καλύτερο δυνατό έργο».

Βάζοντας την ασφάλεια στα χέρια των προγραμματιστών — τώρα

Η ασφάλεια του προγραμματιστή καθιστά διαθέσιμα εργαλεία στις ομάδες ανάπτυξης, επιτρέποντας τη σάρωση, τη δοκιμή και την αποκατάσταση σε περιβάλλοντα ανάπτυξης.

Η ιδέα κερδίζει γρήγορα έλξη, με το μέγεθος της αγοράς DevSecOps να αναμένεται να φτάσει 23,4 δισεκατομμύρια δολάρια έως το 2028, από 2,5 δισεκατομμύρια δολάρια το 2020. Οι κορυφαίες εταιρείες στον χώρο περιλαμβάνουν Επιδιόρθωση (πρώην WhiteSource), Veracode, Δαντέλα, Sysdig και Crowdsec.

Όπως σημείωσε ο McKay, οι ανησυχίες για την ασφάλεια ενισχύονται περαιτέρω από το γεγονός ότι «ο ρόλος του προγραμματιστή γίνεται ακόμα μεγαλύτερο κομμάτι του παζλ επιτυχίας για έναν οργανισμό».

Εν μέσω του αγώνα για πρόσληψη ισχυρών ταλέντων στον τομέα της κυβερνοασφάλειας, ο παγκόσμιος αριθμός προγραμματιστών πρόκειται να αυξηθεί 45 εκατ μέχρι το τέλος της δεκαετίας (υπάρχουν σήμερα περίπου 24,5 εκατομμύρια προγραμματιστές).

«Δεν μπορούμε απλώς να προσλάβουμε τον δρόμο μας για έξοδο από αυτήν την κρίση – πρέπει να δώσουμε την ασφάλεια στα χέρια των προγραμματιστών αυτή τη στιγμή», δήλωσε ο McKay.

Ασφάλεια ενσωματωμένη στον κύκλο ζωής ανάπτυξης

Η Snyk – η οποία λέει ότι πρωτοστάτησε στην ασφάλεια των προγραμματιστών – βοηθά στην άρση ζητημάτων ασφαλείας που διαφορετικά θα εμπόδιζαν την ανάπτυξη, είπε ο McKay. Και αυτό με τρόπο που δεν επιβραδύνει τους προγραμματιστές.

Η πλατφόρμα Snyk SaaS επιτρέπει στους προγραμματιστές να εντοπίζουν τρωτά σημεία και παραβιάσεις αδειών σε βάσεις κώδικα ανοιχτού κώδικα, κοντέινερ και εφαρμογές Kubernetes. Οι χρήστες συνδέουν το αποθετήριο κώδικα τους — GitHub, GitLab ή άλλα — για να αποκτήσουν πρόσβαση σε μια βάση δεδομένων ευπάθειας όπου το Snyk μπορεί να εντοπίσει και να περιγράψει ένα πρόβλημα, να υποδείξει ελαττώματα και να προτείνει επιδιορθώσεις.

Ενώ τα νέα εργαλεία ασφαλείας και οι έλεγχοι μπορούν να επιβραδύνουν τη διαδικασία ανάπτυξης, καθιστώντας έτσι τους προγραμματιστές επιφυλακτικούς, το Snyk βοηθά στην επιτάχυνση της διαδικασίας επειδή ενσωματώνει την ασφάλεια στον κύκλο ζωής της ανάπτυξης, το νόημα και τη ροή εργασίας IT. Επίσης, η εταιρεία λέει ότι η πλατφόρμα της ενσωματώνει «το πιο πρόσφατο» στις πληροφορίες ασφαλείας.

Τελικά, το να βοηθήσουμε τους προγραμματιστές να δημιουργήσουν ισχυρότερα προγράμματα ασφάλειας τους επιτρέπει να εστιάσουν περισσότερη προσοχή στη δική τους καινοτομία και προτεραιότητες, είπε ο McKay.

Για πάντα άλλαξε από το Log4j

Δεν είναι υποτίμηση: Η αλυσίδα εφοδιασμού λογισμικού άλλαξε για πάντα από την ευπάθεια Log4j τον περασμένο Δεκέμβριο, είπε ο McKay.

«Αυτή η κρίσιμη στιγμή έβαλε στο προσκήνιο τη ζωτική ανάγκη για τους προγραμματιστές να χρησιμοποιούν εργαλεία ασφαλείας για να εντοπίσουν τρωτά σημεία στα έργα τους», δήλωσε ο McKay.

Καθώς περισσότερες ευπάθειες ανακαλύφθηκαν και διορθώθηκαν τις επόμενες εβδομάδες, η Snyk πρόσθεσε γρήγορα μια ειδοποίηση «Κρίσιμης σοβαρότητας» στη βάση δεδομένων ευπάθειας και οι πελάτες άρχισαν να τη διορθώνουν, εξήγησε. Οι προγραμματιστές είχαν την εξουσία να παίρνουν τον έλεγχο των τρωτών σημείων καθώς τα έπιαναν και στη συνέχεια να τα προσθέσουν στη βάση δεδομένων Snyk μέσα σε λίγες ώρες από την ανακάλυψή τους.

Στο τέλος, επεσήμανε, η κυβερνοασφάλεια έχει να κάνει με την εκπαίδευση και τη συνεργασία.

Οι οργανισμοί πρέπει να ενημερωθούν σχετικά με τις βέλτιστες πρακτικές για να εξασφαλίσουν τους κύκλους ζωής ανάπτυξης λογισμικού τους, είπε. Πρέπει να δημιουργήσουν αποθέματα ή λογαριασμούς υλικών λογισμικού (SBOM), που περιγράφουν ακριβώς τι περιέχεται σε κάθε εφαρμογή που κατασκευάζουν ή πωλούν.

Επίσης, πρέπει να λάβουν υπόψη την καθοδήγηση της βιομηχανίας και της κυβέρνησης (για παράδειγμα, τον πρόσφατο Λευκό Οίκο οδηγίες γύρω από SBOM) που τους συμβουλεύουν να παρακολουθούν στενά τι συναρμολογείται στις εφαρμογές που κατασκευάζουν ή/και χρησιμοποιούν.

«Στο μέτωπο της συνεργασίας, οι οργανισμοί πρέπει να βεβαιωθούν ότι οι ομάδες ανάπτυξής τους, πληροφορικής και ασφάλειας λειτουργούν όλες μαζί χωρίς να εμποδίζουν ο ένας τον άλλον», δήλωσε ο McKay.

Η επιδιόρθωση ελαττωμάτων σε μια αλυσίδα εφοδιασμού σε πραγματικό χρόνο προτού οι χάκερ μπορέσουν να τα αξιοποιήσουν μπορεί να σημαίνει την αποτροπή ενός καταστροφικού γεγονότος όπως το Log4j, είπε.

«Οι εταιρείες πρέπει να ενστερνιστούν τις κουλτούρες λειτουργιών ασφάλειας προγραμματιστών, όπου οι προγραμματιστές, τα επαγγέλματα ασφαλείας και οι ομάδες λειτουργιών αναπτύσσουν ισχυρή συνεργασία και συνεργάζονται για να συζητήσουν, να εντοπίσουν και να διορθώσουν τα τρωτά σημεία πριν χτυπήσουν ζημιές», δήλωσε ο McKay.

Η αποστολή του VentureBeat πρόκειται να αποτελέσει μια ψηφιακή πλατεία της πόλης για τους τεχνικούς λήπτες αποφάσεων ώστε να αποκτήσουν γνώσεις σχετικά με τη μετασχηματιστική επιχειρηματική τεχνολογία και να πραγματοποιήσουν συναλλαγές. Ανακαλύψτε τις Ενημερώσεις μας.