Как организации могут решить проблему защиты мирового кода
Все про Блоггинг

Как организации могут решить проблему защиты мирового кода

Мы все играем роль в защите мирового кода. Ни одна компания, в том числе GitHub, не может решить проблемы в одиночку, поэтому крайне важно объединить усилия команд, компаний и отдельных лиц, которые разделяют общий интерес в обеспечении безопасной разработки программного обеспечения. Комплексный подход к безопасности должен использовать знания сообщества и партнерские технологии для наилучшего покрытия уязвимостей, обеспечивать лучшие в своем классе возможности интеграции и автоматизации, а также функционировать в качестве стимула для инноваций.

Тем не менее, безопасность часто рассматривается как препятствие для инноваций. А поддержка нескольких решений, нескольких поставщиков и противоречивых результатов может создать дополнительную проблему, что приведет к потере производительности и повышению уровня риска. Защита мирового кода может показаться сложной задачей, но это не обязательно. Вот как ваша организация может внести свой вклад с тремя изменениями.

Начните с вашей цепочки поставок

Сегодня 99 процентов всех программных проектов используют открытый исходный код. Включение зависимостей с открытым исходным кодом сокращает время вывода продукта на рынок, но создает унаследованные риски безопасности. За последние пять лет количество нарушений, связанных с открытым исходным кодом, увеличилось на 71 процент. Понимание ваших запасов с открытым исходным кодом и выявление рисков — ключ к защите вашей цепочки поставок.

Используя извлеченные уроки и знания сообщества, можно проактивно выявлять проблемы безопасности и автоматизировать исправления безопасности в любом масштабе, сводя к минимуму отвлекающие факторы и устраняя препятствия для продуктивности групп разработчиков. «Это ключевая часть нашей стратегии управления уязвимостями и действует как усилитель для наших ручных выводов, предлагая нам творческое решение в том, как мы обнаруживаем уязвимости. В одном единственном случае мы смогли найти 11 истинных вариантов ошибки, что привело к значительной экономии средств для нашей организации, — говорит Роб Флетчер, глава отдела безопасности приложений в Uber.

Сообщество с открытым исходным кодом невероятно, и оно в основном хочет разрабатывать безопасный код. Другой вариант — открыть свой проект (или его часть) для более широкого сообщества разработчиков, чтобы использовать умы со всего мира. «Благодаря тому, что у нас есть открытый исходный код и общедоступность на GitHub, у нас есть разработчики, которые напрямую связываются с нами с ошибками», — говорит Джанлука Вариско, директор по информационной безопасности в Arduino.

Убедитесь, что ваш собственный код безопасен

Вы можете защитить собственный код и зависимости, предоставив разработчикам решения безопасности, которые работают в рамках рабочего процесса разработчика. Традиционные инструменты безопасности, прикрепленные к процессу разработки, могут вызывать трение и добавлять ручные процессы, но их интеграция в рабочий процесс может упростить разработку.

Менеджер по безопасности приложений Thermo Fisher, Кейт Худлет, использует решение безопасности GitHub, которое «интегрируется непосредственно в рабочий процесс разработчика, позволяя нашим программистам сосредоточиться на решении проблем в коде, который они написали, и дает возможность людям, обладающим наибольшим знанием того, как этот код» предназначены для решения проблем безопасности и качества ». Чем раньше вы сможете получить обратную связь по безопасности в контексте, исправить проблемы с безопасностью и избежать серьезных сбоев ближе к выпуску, тем больше вы сможете повысить производительность и скорость — и сэкономить деньги, что является истинным обоюдным выигрышем.

Сосредоточив внимание на действенных и высокоприоритетных проблемах безопасности в рабочем процессе разработчика, вы можете снизить риски, сократить время вывода продукта на рынок и повысить производительность труда разработчиков. Это также позволяет командам разработчиков и специалистов по безопасности совместно устранять проблемы. «Безопасность — это такая же обязанность разработчиков, как и группа безопасности: чем раньше мы сможем выявить уязвимости и проблемы с продуктами, тем лучше для компании в долгосрочной перспективе», — говорит Джеймс Херли, директор по услугам для разработчиков McKesson .

Обеспечьте безопасность всего вашего конвейера

Безопасность проектов зависит от жизненного цикла разработки программного обеспечения, в котором они создаются. Инвестируя в прозрачность в масштабах всей организации, настраиваемые управление и политики, вы можете эффективно управлять безопасностью приложений, не замедляя бизнес.

«Мы хотим убедиться, что наши средства управления безопасностью встроены в наши конвейеры, начиная с первой строки кода, который вы пишете, — говорит Мигель Эль Лаккис, директор по информационной безопасности Dow Jones. Создавая и применяя политики, которые могут управлять безопасностью, вы можете быть спокойны и уверены, что разрабатываете безопасное программное обеспечение на всех этапах жизненного цикла.

Программное обеспечение поддерживает практически все, что нас окружает. В GitHub мы считаем, что безопасность — это общая ответственность разработчиков, специалистов по безопасности и бизнеса. Чтобы добиться успеха, мы все должны вносить свой вклад как отдельные лица, организации и как сообщество. Мы можем начать с принятия и внедрения решений, которые защищают цепочку поставок, индивидуальный код и жизненный цикл программного обеспечения, создавая более безопасное будущее, которому может доверять каждый.

Ищете другие рекомендации по безопасности? Посетите наш центр ресурсов по безопасности, чтобы получить советы, практические рекомендации и информацию о предстоящих событиях.


Этот пост также был опубликован в LinkedIn 8 июля 2020 г.

Вам также может понравиться...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *