Jó hír, hogy aki még nem foglalkozott eddig ezzel a területtel, az is könnyen és gyorsan belevághat az alkalmazások biztonságának megerősítésébe.
Az IDC nemrégiben közzétette friss kutatásának eredményeit, amelyben azt elemezte, hogyan változtak a szervezetek DevSecOps gyakorlatai, vagyis mennyiben módosultak az alkalmazásbiztonsági megközelítések a modern szoftverfejlesztési folyamatok során. A felmérés során közel 1200 vállalati döntéshozó tapasztalatait vizsgálták.
Amint arra a kutatás is rámutatott, az alkalmazásfejlesztés és az alkalmazásbiztonság világszerte óriási átalakuláson ment keresztül az elmúlt évben. Gyorsan kellett reagálni a változásokra, és komoly lökést adott a jelenségnek a tömeges home office, ami miatt egyúttal a biztonságra is muszáj minden eddiginél nagyobb figyelmet fordítani. Ha az alkalmazottak ugyanis távolról veszik igénybe a céges erőforrásokat és alkalmazásokat, az megnöveli a támadási felületet a kibertérben.
Előtérben a DevSecOps
A koronavírus talán a leggyorsabb változásokat idézte elő a piacon az elmúlt évtizedekben. A PwC adatai szerint például az USA-ban a járvány miatt a vállalatok közel 80 százaléka engedélyezi a távmunkát a munkaerő több mint 60 százalékának legalább heti egy alkalommal. A munkavégzési és felhasználói szokások tehát jelentős változásokon mennek keresztül, és ezt követniük kell a mindennapi élet során használt eszközöknek is. A szoftverfejlesztők ezért igyekeznek felpörgetni saját innovációikat, amihez rövidebb fejlesztési ciklusokra és gyorsabb folyamatokra van szükség. Ehhez jó támogatást biztosít a DevOps megközelítés, ám annak integrált részévé kell tenni a biztonságot is. Ezt felismerve az elmúlt évben a vállalatok háromnegyede felgyorsította DevSecOps kezdeményezéseit.
Alulértékelt akadály a hozzáállás
A kutatás alapján leginkább az alacsony költségvetés, valamint a tudás és képességek hiánya áll annak az útjában, hogy a vállalatok sikerrel váltsanak a DevSecOps megközelítésre. A listán a hatodik helyen szerepel a "kulturális ellenállás", ám a Micro Focus szakértői szerint ez húzódhat meg a többi gátló tényező mögött is. Hiszen ahol a vállalati kultúra része, hogy gyorsan szeretnének biztonságos szoftvereket fejleszteni, ott a költségvetés nem lehet akadály, és a szakemberek képzésére is megfelelő figyelmet fordítanak. Egy olyan vállalat, amely erős biztonsági kultúrát alakít ki, hatékonyan kezeli az összes kapcsolódó kihívást.
Nem elég érett a biztonság
A megkérdezettek 45 százaléka értékelte úgy, hogy magas szinten sikerült összehangolniuk a szoftverfejlesztéshez, üzemeltetéshez és biztonsághoz kapcsolódó folyamatokat, tehát több mint felük mérsékelt vagy alacsony szintűnek találta saját szervezetének ilyen irányú törekvéseit. Pedig a vállalatok számára már rendelkezésre állnak olyan automatizált eszközök, amelyek segítségével egyszerűen elindulhatnak az érett működés irányába.
Automatizált elemzéssel a biztonságért
A vállalatok negyede alkalmaz például SCA (software composition analysis) eszközt a biztonsági tesztek futtatásához. Az ilyen jellegű megoldások automatikusan átvizsgálják az alkalmazások kódbázisát és a kapcsolódó elemeket, például a konténereket és a beállításjegyzékeket. Majd azonosítják az összes nyílt forráskódú összetevőt, valamint azok licencelési és megfelelőségi adatait és az esetleges biztonsági réseket.
A Micro Focus megoldása, a rendkívül könnyen bevezethető Fortify on Demand szintén képes elemzések automatizált lefuttatására. Ezen felül további tesztelési metódusokat is képes alkalmazni, a forráskód statikus analizálásától kezdve a penetrációs teszteken át a mobilos és kézi elemzésig. Ezáltal a helyszínen futtatott, valamint a mobilos és a webes alkalmazások sebezhetőségeit is fel tudja térképezni és kilistázni, jelentősen csökkentve a biztonsági kockázatokat.