يعد الأمن السيبراني مجالًا أكثر أهمية من أي وقت مضى في عالم شديد الارتباط ، و DevSecOps هنا للتعامل معه مباشرةً. تعتبر الهجمات الإلكترونية هي الحدث العالمي السادس الأكثر تدميرا (وراء عناصر مثل أسلحة الدمار الشامل وأحداث الطقس القاسية) والحدث الخامس المحتمل حدوثه (وراء الاحتيال / سرقة البيانات وفشل التخفيف من تغير المناخ) وفقًا تقرير المخاطر العالمية للمنتدى الاقتصادي العالمي 2019.
هذا ليس مجرد تخويف. هذا تهديد حقيقي ، على المستوى العالمي.
وعلى المستوى المحلي؟ حسنًا ، وفقًا لتقرير PwC لعام 2018 ، The Global State of Information Information: The Australian Story ، 36٪ فقط من الشركات الأسترالية لديها إستراتيجية شاملة لأمن المعلومات ، متخلفة عن المتوسط العالمي البالغ 56٪. يكشف التقرير أيضًا أن 74٪ من العملاء مستعدون للتبديل بين البائعين في حالة حدوث خرق للبيانات.
هنا لدينا مجموعة سامة محتملة لبائعي منتجات البرمجيات وبيوت التطوير: الشركات التي ربما تكون غير مهيأة (أو على الأقل غير مستعدة) للهجمات الإلكترونية ، والعملاء الذين قد يأخذون أعمالهم في مكان آخر في حالة حدوث خرق.
وهذا يعني أن المنازل تطوير البرمجيات تحتاج إلى أن تأخذ الأمن يحمل في ثناياه عوامل على محمل الجد. إذا لم يكن العملاء على استعداد لتحصين أنظمتهم وفقًا للمعايير المثالية ، فمن الأفضل أن تتأكد تمامًا من أن البرنامج مصمم بأمان قدر الإمكان - أو ستفقد أعمالك.
كيف نفعل ذلك؟
عبر DevSecOps.
تحدثنا إلى بعض من أهم المتخصصين في مجال DevSecOps في أستراليا لسماع أفكارهم حول مستقبل هذه الممارسة: هانا مكيلفي ، مديرة أمان DevOps & Code في تلسترا ، أدريان لودفيغ ، CISO في أتلاسيان ، يوري ميلو ، مدير مركز الأمان المتقدم في EY ، جايسون إلول ، مدير التكنولوجيا ، APAC في Contino ، وبيل حموي ، مدير DevOps في Plutora.
DevOps: أصل DevSecOps
منذ 10 سنوات فقط ، كان هناك صوت طنين. DevOps ، تقاطع تطوير البرمجيات ، والاختبار الآلي والبناء ، والتسليم السريع كانت تحظى باهتمام عالمي. لقد كان وقتًا مثيرًا للحديث عن تطوير البرمجيات - على الأقل إذا كنت في المجال الإداري.
كان المطورون أنفسهم أكثر حذراً بشأن خط أنابيب التشغيل الآلي للتطوير والتسليم الجديد. هل حقا العمل؟ هل كانت هذه مجرد حالة أخرى لمدراء ينشرون آخر كلمة "هو" في محاولة لمحاولة تسريع العملية؟
كما اتضح ، أصبحت DevOps الآن حقلًا أكثر نضجًا ويمكنها أن تعمل بسحر لتطوير خط أنابيب البرامج والتسليم - إذا تم تنفيذها بشكل صحيح ، مع ثقافة وممارسات داخلية قوية تم تصميمها لتسهيل العملية.
هذا هو التنفيذ الذي يمكن تنفيذه بشكل سيئ - ويمكن أن يجعل كل من المطورين والمديرين على حد سواء حذرين من DevOps من منظور شامل ، على الرغم من أنهم لا يزالون قد يقسمون بالأدوات ومهام سير العمل التي تمثل DevOps بطبيعتها.
بالنسبة لأولئك الذين لديهم سير عمل DevOps أكثر نضجًا ، فقد حان الوقت للنظر في حقن الأمان في النظام - من خلال عمليات تلقائية لضمان الامتثال.
"DevSecOps هي فرع خارج DevOps مع مبادئ الأمان في وظيفتها الرئيسية والغرض منها." - حموي.
دور المطور في الأمن السيبراني
يقترح ميلوس أنه "يمكن الحصول بسهولة على فهم قوي لقضايا الأمان الشائعة بواسطة المطورين الاستباقيين ويمكن نشر أنماط تطوير الأمان القياسية بسهولة."
هذه الكلمة الاستباقية صعبة. يوضح ميلوس نقطة جيدة بالقول ، "يمكن تقديم الثغرات الأمنية بسهولة من قبل المطورين الذين ليسوا على علم بقضايا الأمن السيبراني." وهذا صحيح حتى في حالة مهندس DevOps المدربين تدريباً عالياً.
لا يكون دور المطور في الأمن السيبراني دائمًا واضحًا ما لم يتم تحديده على وجه التحديد بمسؤولية من الأعلى ، لذلك يعد تدوين الأمان في ممارسات المطورين وسير العمل أمرًا مهمًا إذا كان الأمان نفسه مهمًا. باختصار ، يجب أن يعرف المطور تمامًا ما يجب فعله للتشفير بشكل آمن ، وإلا فلن يعرف.
إذا قمنا بذلك ، فقد يكون المطور ملتزمًا بالبناء بشكل آمن حسب التصميم ، واتباع أفضل ممارسات أمان الترميز ، مثل استخدام إصدار تم التحقق منه من مكتبة خارجية ، واختبار شامل (على سبيل المثال من خلال اختبارات جودة الرمز) ، إلخ.
في Atlassian ، يسهلون على المطورين اكتشاف عيوب الأمان ، من خلال تطبيق أدوات DevSecOps. يقول لودفيج ، "إننا نقوم بالكثير من العمل للتأكد من أن أدوات الأمان الخاصة بنا مدمجة مباشرة في سير عمل المطور - حتى يتمكن المطور من معرفة مشكلة أمنية محتملة في الوقت الذي يكتبون فيه الكود ، بدلاً من الانتظار حتى بعد دخول الرمز إلى الإنتاج ، يتم الانتهاء من اختبار الأمان. "
"لقد اضطررنا إلى بناء عملية توفر فحوصات أمنية أصغر بكثير. يتم ذلك من خلال مجموعة من الأدوات والأتمتة والمراقبة المستمرة لمساعدة مهندسينا على شحن رمز أكثر أمانًا. "
"على سبيل المثال ، سنقوم بفحص الكود المصدري مباشرةً داخل سير عمل المطور وإخطار المطور عندما يذهبون إلى رمز تسجيل الوصول."
يعمل هذا على توفير الأمان تلقائيًا ضمن مهام سير عمل المطورين ، لذا لا يتعين عليهم تذكر إجراء عمليات الفحص الأمني اليدوية.
لماذا نحتاج إلى الأمان في إجراءات DevOps؟
يوضح Melo سبب وجود حاجة ماسة لحقن الأمان في عملية DevOps: "بما أن إجراءات DevOps تجعل نشر التطبيقات أسرع ، فإن الانتظار حتى نهاية سباق التطوير قد يكون متأخراً للغاية لمعالجة الثغرات الأمنية."
على الرغم من أن عمليات الفحص الأمني كانت تتم تقليديًا في نهاية تكرار البرنامج ، إلا أننا نحتاج إلى إجراء هذا الاختبار ، مثل كيفية إجراء اختبار مستمر ونشر الآن (مع DevOps).
ويضيف أنه من خلال القيام بذلك ، "إجراءات DevOps مع اعتبارات أمنية تجلب الوعي الأمني لفرق المطورين ، وتبني ثقافة واعية أمنية وتحسن من الناحية الأمنية التغطية الأمنية الشاملة."
أو ، على حد تعبير Ellul ، "تستند DevSecOps إلى فكرة أن الفرق متعددة الوظائف يجب أن تعمل معًا وتبني على أن" كل شخص مسؤول عن الأمان "بهدف توزيع قرارات الأمان بالسرعة والمقياس في مكان آمن ومحكم الطريقة ".
يرتبط DevOps بدون أمان يحمل في ثناياه عوامل إما بالتسبب في حدوث تأخير في خط أنابيب التكامل المستمر / النشر المستمر / التسليم أو يتسبب في شحن رمز غير آمن. وهذا هو السبب في أن كلمة "Sec" مهمة جدًا بالنسبة إلى DevOps.
بناء خط أنابيب توصيل مستمر آمن
مع تحول المزيد والمزيد من الشركات إلى ممارسات DevOps ، فإن هذا "يتطلب الآن تعاونًا وثيقًا بين فرق الأمان و DevOps ، والنظر في المساءلة المشتركة كاستراتيجية لتحقيق هدف الأمان في السرعة" ، كما يقول مكيلفي.
على المستوى الأساسي ، يلاحظ حموي الخطوات اللازمة لإدخال DevSecOps إلى مكان العمل:
- يحتاج الفريق إلى أن يكون شفافًا مع بعضه البعض وأن يفهم قيود كل فريق ووظائفه.
- تأكد من تمكين الأشخاص المناسبين من تنفيذ المشاريع بالقدر الصحيح من الرؤية.
- امتلك صندوق أدوات متنوعًا يتيح للموظفين العمل بشكل صحيح معًا
كيف يبدو هذا في الممارسة العملية؟
يوضح Ellul كيفية بدء العملية:
- "حدد الالتزامات القانونية والتنظيمية والتنظيمية الإلزامية - هذه ستحدد متطلبات التحكم الأمني الإلزامي.
- ابدأ بإضافة عناصر تحكم الأمان في طبقات التطبيق والبنية التحتية ؛ اختر على وجه التحديد المنطقة التي تعتبر أكبر نقطة ألم لديك.
- اختبار عناصر التحكم هذه بشكل مستمر بطريقة آلية. لا تخافوا من الإخفاقات الأولية ، هذا أمر متوقع!
- حدد كبار المطورين داخل الفريق الذين لديهم اهتمام راسخ بالأمن والتأثير عليهم ليصبحوا بطلاً أمنياً. تمكن هذا البطل من اتخاذ قرارات أمنية تتماشى مع الضوابط الداخلية والخارجية وتوجيه الفريق الأوسع.
- قياس مؤشرات الأداء الرئيسية: "عيش وتموت" بالمقاييس "
يشرح McKelvie كيف بدأوا التحول إلى DevSecOps في Telstra: "في البداية ، قمنا بحضانة الشركات الصغيرة والمتوسطة الأمنية لدينا في فرق DevOps وضمنا أشخاصًا متواجدين لتقديم المشورة الأمنية في الوقت الحقيقي والحوكمة ورفع المهارات". بعد هذه المرحلة الأولية ، يتم تعزيز المهارات من خلال "العمل مع جميع فرق DevOps لدينا للعثور على أشخاص متحمسين لتحسين جودة حلولهم ، خاصة فيما يتعلق بالأمان ،" تسجيل هؤلاء الموظفين الرئيسيين في برنامج بطل الأمن الداخلي الخاص بهم.
يلاحظ ميلو أيضًا العمليات الحالية التي يمكن تنفيذها الآن والتي ستصبح أكثر انتشارًا بين الشركات في المستقبل: "سيزداد استخدام الحلول الآلية مثل اختبار أمان التطبيق الثابت (SAST) واختبار أمان التطبيق الديناميكي (DAST) لتزويد المطورين مع حلقة تغذية مرتدة أسرع لإغلاق الثغرات الأمنية في وقت مبكر. "
لماذا DevSecOps هو مستقبل الأمن
"من أجل التنافس في الاقتصاد الرقمي ، تتنافس المؤسسات بشكل متزايد على الوقت للسوق ومع النمو في بيئات Agile ، تحتاج المنظمات إلى تسهيل تقديم حلول عالية السرعة." - ميلو
ببساطة ، DevSecOps يجعل العمل أكثر كفاءة وبالتالي أكثر تنافسية.
يحدد Ellul النتائج الرئيسية التالية التي لها "قيمة أعمال مباشرة ويمكن أن تساعد في زيادة العائد على الاستثمار":
يساعد التركيز على بنية التوفر على زيادة وقت التشغيل وتوافر الخدمة
زيادة في سرعة النشر والترددات
تم فتح عدد أقل من التذاكر (بسبب انخفاض عدد المشكلات المتعلقة بالأمان)
تأخيرات أقل متعلقة بالأمان (وقت الإنشاء)
نتائج أمان أقل (وقت الإنشاء)
قضاء وقت أقل في حل مشكلات الأمان
استجابة أسرع للحوادث الأمنية
على الرغم من أن مهارات مطوري البرامج الأساسية في عام 2019 تشمل الخبرة في تطوير Agile ، فإن Agile ستشهد بالتأكيد المزيد من التركيز الأمني في المستقبل ، كتطور طبيعي نحو DevSecOps كمعيار لتطوير البرمجيات.
بالنسبة لأولئك الذين يتطلعون إلى الدخول في هذه الصناعة ، سيظل تعلم لغة برمجة عليا أمرًا ذا أهمية كبيرة ، ولكن يجب أن يتم تطبيقه في بيئة التطوير والنشر التي تركز على الأمان. ستكون وظائف الأمن السيبراني مع التركيز على البنية التحتية كرمز من منظور على مستوى المؤسسة أمرًا بالغ الأهمية لعمليات الأعمال الناجحة.
سيكون عالما شجاعا جديدا في مجال تطوير البرمجيات. كن مستعدًا لمستقبل مثير واشترك في حركة DevSecOps.
تعليقات
إرسال تعليق