A Micro Focus szakértői négy pontban foglalják össze, hogyan tartható fenn a biztonság a felgyorsult fejlesztési ciklusokban.
Az elmúlt években átalakultak az alkalmazásfejlesztési folyamatok, mivel a gyorsan változó elvárások miatt a szervezetek is egyre rövidebb határidővel adják ki a szoftverek új változatait. Ennek megfelelően a biztonság fenntartásához is új megközelítésre van szükség. Korábban hatékonynak bizonyult, ha egy külön csapat foglalkozott a fejlesztési folyamat utolsó fázisaiban a biztonsági teszteléssel, a sérülékenységek feltérképezésével és a hibák javításával. Napjainkban azonban már túl sok költséggel és időveszteséggel jár, ha csak a szoftver kibocsátása előtt gondoskodnak a biztonságról. A Micro Focus szakértői szerint olyan új módszereket kell kidolgozni, amelyek segítségével a teljes fejlesztési ciklus alatt figyelmet tudnak fordítani a sebezhetőségek kiküszöbölésére.
Törekedjünk a biztonságra már fejlesztés közben!
Ha már a kódolási folyamat során azonosítjuk a sebezhetőségeket, a fejlesztők még a tesztelési és kiadási fázis előtt javíthatják azokat, ami jelentős mennyiségű időt és pénzt takaríthat meg a szervezet számára. Ennek megvalósítása nem megy egyik napról a másikra: át kell alakítani a folyamatokat, és oktatni kell a fejlesztőket, továbbá érdemes ellátni őket olyan eszközökkel, amelyek valós idejű információkat nyújtanak a kóddal kapcsolatban. A Fortify Security Assistant például valós időben biztosít visszajelzéseket a biztonsági sebezhetőségekről, amikor begépelik a kódot, ahhoz hasonlóan, ahogyan a helyesírás-ellenőrző azonnal jelzi a hibákat a szövegszerkesztő programban.
Teszteljünk gyakran és gyorsan!
Ahhoz, hogy ne okozzon fennakadást a biztonsági rések kiküszöbölése, érdemes gyakran lefuttatni a teszteket a fejlesztési fázis minden egyes lépése során, így időben fény derül a hibákra. A megfelelő, professzionális eszközök használatával a tesztelés és a javítás nem igényel sok időt. A Micro Focus Fortify termékcsaládja például azzal is segíti ezt a folyamatot, hogy más termékekhez képest rendkívül kevés fals pozitív találatot ad, és nem jelzi ismételten azokat a hibákat, amelyeket már javítottnak jelöltek a szakemberek.
Haladjunk fontossági sorrendben!
Ha túl sok sérülékenység vár javításra, könnyű elveszni a részletekben, ezért érdemes priorizálni a feladatokat. Ebben is segítséget nyújtanak a fejlett eszközök: a Fortify például több különféle módszerrel, automatizáltan ellenőrzi a hibákat, majd egy jól átlátható felületen összegyűjti és rangsorolja is azokat. A fejlesztők így hatékonyan, a fontossági sorrendnek megfelelően vághatnak bele a sebezhetőségek javításába.
Monitorozzunk és védjünk a kiadás után is!
Nem csupán a fejlesztés során fontos figyelmet fordítani a védelemre. A már kiadott és élesben működő alkalmazásokat is muszáj óvni. Érdemes így folyamatosan ellenőrizni és javítani a termelési környezetben működő alkalmazásokat, hogy az újonnan jelentkező problémákat és kockázatokat, illetve a nulladik napi sérülékenységeket is azonosíthassuk és orvosolhassuk. A webes szolgáltatások például gyorsan és egyszerűen tesztelhetők a Fortify WebInspect segítségével, míg a Fortify Application Defender valós időben észleli, ha egy már ismert, de még nem javított sérülékenységet megpróbálnak kihasználni, és el is hárítja a támadást.