A fejvesztett fejlesztés ellenszere

forrás: Prím Online, 2019. augusztus 8. 09:10

Az ügyfelek gyorsan változó igényei kihívások elé állítják a vállalatokat szinte minden területen, így a szoftverek fejlesztésénél is. Egyre rövidebb idő alatt kell elérhetővé tenni az új funkciókat és az új kiadásokat, és mindeközben a sebesség nem mehet a minőség és a biztonság rovására. A Micro Focus szakértői négy pontban foglalják össze, hogyan tartható fenn a biztonság a felgyorsult fejlesztési ciklusokban.

Az elmúlt években átalakultak az alkalmazásfejlesztési folyamatok, mivel a gyorsan változó elvárások miatt a szervezetek is egyre rövidebb határidővel adják ki a szoftverek új változatait. Ennek megfelelően a biztonság fenntartásához is új megközelítésre van szükség. Korábban hatékonynak bizonyult, ha egy külön csapat foglalkozott a fejlesztési folyamat utolsó fázisaiban a biztonsági teszteléssel, a sérülékenységek feltérképezésével és a hibák javításával. Napjainkban azonban már túl sok költséggel és időveszteséggel jár, ha csak a szoftver kibocsátása előtt gondoskodnak a biztonságról. A Micro Focus szakértői szerint olyan új módszereket kell kidolgozni, amelyek segítségével a teljes fejlesztési ciklus alatt figyelmet tudnak fordítani a sebezhetőségek kiküszöbölésére. 

 

 

1. Törekedjünk a biztonságra már fejlesztés közben!

Ha már a kódolási folyamat során azonosítjuk a sebezhetőségeket, a fejlesztők még a tesztelési és kiadási fázis előtt javíthatják azokat, ami jelentős mennyiségű időt és pénzt takaríthat meg a szervezet számára. Ennek megvalósítása nem megy egyik napról a másikra: át kell alakítani a folyamatokat, és oktatni kell a fejlesztőket, továbbá érdemes ellátni őket olyan eszközökkel, amelyek valós idejű információkat nyújtanak a kóddal kapcsolatban. A Fortify Security Assistant például valós időben biztosít visszajelzéseket a biztonsági sebezhetőségekről, amikor begépelik a kódot, ahhoz hasonlóan, ahogyan a helyesírás-ellenőrző azonnal jelzi a hibákat a szövegszerkesztő programban.

 

2. Teszteljünk gyakran és gyorsan!

Ahhoz, hogy ne okozzon fennakadást a biztonsági rések kiküszöbölése, érdemes gyakran lefuttatni a teszteket a fejlesztési fázis minden egyes lépése során, így időben fény derül a hibákra. A megfelelő, professzionális eszközök használatával a tesztelés és a javítás nem igényel sok időt. A Micro Focus Fortify termékcsaládja például azzal is segíti ezt a folyamatot, hogy más termékekhez képest rendkívül kevés fals pozitív találatot ad, és nem jelzi ismételten azokat a hibákat, amelyeket már javítottnak jelöltek a szakemberek.

 

3. Haladjunk fontossági sorrendben! 

Ha túl sok sérülékenység vár javításra, könnyű elveszni a részletekben, ezért érdemes priorizálni a feladatokat. Ebben is segítséget nyújtanak a fejlett eszközök: a Fortify például több különféle módszerrel, automatizáltan ellenőrzi a hibákat, majd egy jól átlátható felületen összegyűjti és rangsorolja is azokat. A fejlesztők így hatékonyan, a fontossági sorrendnek megfelelően vághatnak bele a sebezhetőségek javításába.

 

4. Monitorozzunk és védjünk a kiadás után is!

Nem csupán a fejlesztés során fontos figyelmet fordítani a védelemre. A már kiadott és élesben működő alkalmazásokat is muszáj óvni. Érdemes így folyamatosan ellenőrizni és javítani a termelési környezetben működő alkalmazásokat, hogy az újonnan jelentkező problémákat és kockázatokat, illetve a nulladik napi sérülékenységeket is azonosíthassuk és orvosolhassuk. A webes szolgáltatások például gyorsan és egyszerűen tesztelhetők a Fortify WebInspect segítségével, míg a Fortify Application Defender valós időben észleli, ha egy már ismert, de még nem javított sérülékenységet megpróbálnak kihasználni, és el is hárítja a támadást.