Prim Hírek

Az alkalmazások biztonsága fontos terület a cégek működésében, és a szervezeteken belül több szakember és részleg is foglalkozik vele. A döntéshozók általában egy, kifejezetten az ő részükre kialakított irányítópulton vagy jelentésben tekintik át a cégnél használt alkalmazások állapotát. A fejlesztők a szoftveres ticketing rendszerben kezelik a biztonsági szakemberek által megjelölt biztonsági problémákat, egyes nagyobb vállalatok szoftvermérnöki csapata pedig saját önkiszolgáló biztonsági tesztelési modellt hoz létre annak érdekében, hogy a lehető leghatékonyabban menedzseljék ezt a feladatkört. A Micro Focus összegyűjtötte azt a négy legfontosabb gyakorlatot, amit az ügyfelei közé tartozó, ismertebb nagyvállalatok is alkalmaznak.

Teszt: minél előbb, annál jobb!

Minél később fedezik fel a biztonsági réseket és hibákat a szoftverfejlesztési folyamat során, annál többe kerül a kijavításuk. Ezért az alkalmazásbiztonság optimalizálásához kulcsfontosságú, hogy a lehető legkorábban azonosítsák és orvosolják ezeket a sebezhetőségeket. Az alkalmazásbiztonságért felelős csapatoknak minél több biztonsági és kódellenőrzési folyamatot kell bevezetniük a szervezet integrált fejlesztési környezetébe (integrated development environment – IDE), de csak addig a szintig, amíg ez nem rontja a fejlesztők hatékonyságát. 

A kódellenőrző funkciók integrálása segíthet a fejlesztőknek abban, hogy a kódírás során a biztonságra is odafigyeljenek, illetve biztonságosabb kódolási módszereket sajátítsanak el. Ilyen lehetőséget kínálnak a statikus elemző eszközök, köztük a Fortify Static Code Analyzer. A kódszerkesztési folyamatok során azonban csupán a legegyszerűbb vizsgálatokat érdemes lefuttatni. További, alaposabb teszteket a fejlesztési ciklus későbbi pontjain célszerű alkalmazni.

Önkiszolgáló eszközöket minden fejlesztőnek!

Az alkalmazásbiztonságért felelős szakembereknek azt is biztosítaniuk kell, hogy a biztonsági eszközöket egyszerűen lehessen használni és igény szerint futtatni. Ha a fejlesztők maguk is képesek azonosítani és javítani a biztonsági hibákat, akkor a fejlesztési folyamat is agilisabbá válik, és jobban összhangba kerül az olyan, folyamatos integrációs módszerekkel, mint például a DevOps. Szintén segíti és gyorsítja a fejlesztők munkáját, ha automatizált és önkiszolgáló eszközökkel, önállóan gondoskodhatnak az alkalmazások biztonságáról. A Micro Focus alkalmazásbiztonsági portfóliója számos olyan hasznos eszközt tartalmaz, amelyek segítségével automatizáltan felkutathatók, rangsorolhatók és javíthatók a hibák.

Mindenkivel a saját nyelvén 

A vállalatok eltérő szintjein tevékenykedő szakembereknek különböző rálátással kell rendelkezniük az alkalmazásbiztonságra. A menedzsmentnek általában magas szintű, átfogó jelentésre van szüksége, illetve specifikus mutatókra, amelyekkel nyomon követhető az alkalmazásbiztonság állapotának előrehaladása. Míg a fejlesztők egyszerűen a többi hibához hasonló, kijavítandó „bug”-ként tekintenek a biztonsági problémákra. Ezért feléjük az ő nyelvükön kell kifejezni az ehhez kapcsolódó információkat és teendőket. Emellett az alkalmazásbiztonságért felelős szakembereknek olyan teljesítménymutatókat (KPI) is érdemes használniuk, amelyekkel mérni tudják a biztonsági állapotot.

Biztonsági kultúra 

Végül, de nem utolsó sorban arra is fontos figyelmet fordítaniuk a cégeknek, hogy erős biztonsági kultúrát építsenek ki. Ahelyett, hogy „kötelezővé tennék” minden fejlesztő számára, hogy foglalkozzon a biztonsággal is, érdemes inkább megkeresni azokat a szakembereket, akik szívesen sajátítanak el minden hasznos információt a biztonságos kódoláshoz. Az ilyen lelkes és érdeklődő kollégák támogatásával hatékonyabb biztonsági programot lehet működtetni, és jobb eredményeket lehet elérni.