شش چیزی که DevOps از InfoSec می خواهد…

شما یک ستاره راک توسعه‌دهنده در تیمی از نینجاهای کدنویسی با مهارت مشابه، بدون نقص و بدون نقص هستید. تیم شما چند ماه گذشته را صرف کدنویسی، بستن داستان ها و حماسه ها، ساختن نسل بعدی، عملکردی الهام بخش و مخل صنعت برای مشتریان تجاری شما کرده است. چند روزی تا آزادی فاصله دارید و نوزادتان را برای آزمایش به تیم امنیتی تحویل می دهید.

شما با یک گزارش ارزیابی امنیتی 20، 30 صفحه ای ضربه می خورید. برنامه شما مملو از نقص های امنیتی است. کودک عاشق زمانی زیبا، خالص و بی نقص شما به یک کودک نوپای جیغ، مشت کوبنده و عصبانی تبدیل شده است که نیاز مبرم به چرت زدن دارد.

پنج مرحله غم و اندوه: انکار مدل کوبلر راس را شروع کنید. خشم. چانه زنی. افسردگی. پذیرش – پذیرفته شدن.

اکنون می بینید که بین یک سنگ و یک مکان سخت گیر کرده اید. آیا برنامه خود را طبق برنامه با نقص های امنیتی شناخته شده منتشر می کنید و وضعیت امنیتی و شهرت شرکت خود را به خطر می اندازید؟ یا اینکه یک برنامه سخت‌شده را وصله می‌کنید، دوباره آزمایش می‌کنید و منتشر می‌کنید، اما از تاریخ وعده اولیه خود گذشته‌اید، هزینه‌های پروژه افزایش می‌یابد و خطر از دست دادن دلار برای کسب‌وکار وجود دارد؟

درک اینکه چرا توسعه دهندگان InfoSec را به عنوان مانعی برای اهداف و اهداف پروژه خود می بینند دشوار نیست. این «ما» در مقابل «آنها»، آدم‌های خوب در برابر آدم‌های بد هستیم. در واقع، InfoSec به طور منظم به عنوان یک مانع در مسیر رسیدن به سرزمین موعود تکمیل پروژه در نظر گرفته می شود.

نباید اینطور باشد. این نباید «ما در برابر آنها» باشد، بلکه باید «ما، با هم» باشد.

بیایید با بررسی شش موردی که توسعه‌دهندگان از تیم‌های امنیت اطلاعات خود می‌خواهند، از این وضعیت جلوگیری کنیم:

1. توانمندسازی

نه، منظورم قدرت مانند دسترسی مستقیم به سرور پایگاه داده تولید نیست، منظورم این است که تیم‌های DevOps می‌خواهند به تنهایی از قدرت عالی در امنیت برخوردار باشند. تیم‌های امنیتی هنوز باید در زمینه امنیت عالی باشند، اما توسعه‌دهندگان نمی‌خواهند دست نگه‌داشتن و آزاری را که گاهی از سوی افراد خوش‌نیت امنیتی می‌آیند، نداشته باشند.

برای رفع این مشکل، متخصصان امنیتی می‌توانند تیم‌های DevOps خود را به روش‌های زیر تقویت کنند:

آموزش های امنیتی ارائه دهید و به آنها فرصت یادگیری بدهید.
یک فرهنگ امنیتی قوی و خوشایند در شرکت خود ایجاد کنید که ایجاد روابط، پرسیدن سوال و اندازه گیری با معیارهای مثبت را تشویق می کند.
به آنها مالکیت بدهید تا بخواهند تعداد آسیب پذیری های امنیتی را کاهش دهند و از اصلاحات یا استراتژی های کاهش لازم حمایت کنند.
دست از سر راه آنها بردارید – آنها را کوچک مدیریت نکنید! ابزارهایی را که برای موفقیت نیاز دارند به آنها بدهید و اعتماد کنید که کار درست را انجام خواهند داد.

2. ابزار و ادغام

توسعه دهندگان ابزارها و ادغام ها را دوست دارند، به خصوص اگر استفاده از آنها آسان باشد و با پشته فناوری موجود خود کار کنند. اگر ابزار منبع باز یا رایگان باشد، امتیاز جایزه! توسعه دهندگان، مانند هر کس دیگری، می خواهند در هنگام انجام کار خود تا حد امکان دردسر کمتری داشته باشند.

هنگامی که تیم‌های DevOps به ابزار امنیتی جدیدی نیاز دارند، این فرصت عالی را برای تیم‌های امنیتی فراهم می‌کند تا با دنبال کردن این مراحل، روابط خود را با آنها به سطح بعدی برسانند:

ابزارهای تحقیق و ادغام های موجود در بازار، مقایسه کل هزینه مالکیت، ویژگی های اصلی و سایر مزایا و معایب برای هر یک.
قابلیت استفاده را بالاتر از هر چیز دیگری قرار دهید—مطمئن شوید که استفاده از توصیه های شما آسان است و زمان زیادی به چرخه ساخت آنها اضافه نمی کند.

3. مثال ها

توسعه دهندگان نمونه های زیادی می خواهند! شما باید به آنها نشان دهید که کد خوب چگونه به نظر می رسد، اما فراتر از تکه کدهای آینه ای، ارائه آن را در نظر بگیرید:

تست های واحد امنیتی،
کتابخانه ها،
فیلترها و الگوهای regex

باهاشون ادم کن! فراتر از اینکه به آنها اجازه دهید بر آنچه که به آنها داده اید بسازند، باید آنها را تشویق کنید تا این کار را انجام دهند. پایگاهی را برای عملیات آنها فراهم کنید و اطلاعات را فهرست بندی کنید تا توسعه دهندگان دیگر بتوانند به راحتی آن را پیدا کرده و به آن دسترسی داشته باشند.

4. خاص بودن

هنگام ارائه یک نیاز امنیتی یا رسیدگی به یک باگ یا آسیب پذیری امنیتی خاص باشید. آنها را رها نکنید که به تنهایی معنی را از لغات بیش از حد فنی جدا کنند – به بسته، کلاس، روش، خط کد و آسیب پذیری اشاره کنید. به آن‌ها بگویید اگر آسیب‌پذیری اصلاح نشده باقی بماند، چه خطری دارد، و از به اشتراک گذاشتن داستان‌هایی درباره آنچه ممکن است اتفاق بیفتد یا در گذشته در موارد مشابه رخ داده است، نترسید تا زمینه را برای آنها فراهم کنید.

5. انجام ارزیابی های امنیتی خودشان

می‌دانم، می‌دانم – این به نظر یک تضاد منافع ضد شهودی است. اما به من گوش کنید: توسعه دهندگان می خواهند امنیت با هر کاری که انجام می دهند یکپارچه باشد، درست است؟ بنابراین امنیت داخلی برای چرخه عمر توسعه آنها ضروری است.

در اینجا چند ایده در مورد چگونگی انجام این کار وجود دارد:

برگه های تقلب امنیتی و چک لیست هایی را به توسعه دهندگان بدهید تا در اسرع وقت هر گونه آسیب پذیری را کشف کنند.
وظایف امنیتی را به صورت خودکار به داستان های فنی اضافه کنید تا به توسعه دهندگان کمک کنید آنها را به خاطر بسپارند.

اگر در دنیای آنها با آنها هستید، با همان ابزارهایی که آنها از آنها استفاده می کنند و به همان زبان صحبت می کنند، واقعاً به از بین بردن شکاف بین تیم های شما کمک می کند و درک مشترکی از آنچه دقیقاً از آنها می خواهید انجام دهند را ارتقا می دهد. .

6. اعتماد کنید

همه ما حرفه ای هستیم و توسعه دهندگان نیز مانند دیگران می خواهند مورد اعتماد باشند. آنها می دانند که چگونه وظایف خود را انجام دهند و شما می خواهید به توسعه دهندگان خود برای ایجاد امنیت در برنامه های خود اعتماد کنید. به آنها فضای لازم برای انجام این کار را بدهید!

اعتماد به مرور زمان ایجاد می شود، پس عجله نکنید. با پرسیدن سؤالات خاص از تیم های DevOps خود از وارد شدن به علف های هرز نترسید و آنها را تشویق کنید که همین کار را با تیم امنیتی انجام دهند. ایجاد آن محیط ارتباطی در دراز مدت برای همه مفید خواهد بود.

امنیت یک خدمت برای کسب و کار است – نه یک همسر آزاردهنده. اعتماد به تیم‌های DevOps برای عالی بودن در امنیت یک گام اساسی در ایجاد آن رابطه ضروری بین توسعه‌دهندگان و تیم‌های امنیتی است.

به اشتراک گذاری بر روی whatsapp
به اشتراک گذاری بر روی email
به اشتراک گذاری بر روی linkedin
به اشتراک گذاری بر روی telegram

برای دانلود لطفا ایمیل خود را وارد نمایید .