Development timovi su motivisani da brzo isporučuju nove funkcionalnosti, dok sigurnosni timovi prioritet daju ublažavanju rizika – što ih često stavlja u sukob.
61% programera izjavilo je da je ključno da sigurnost ne blokira ili usporava razvojni proces, niti da postane prepreka poslovnom uspjehu. Pored toga, saradnja između development i security timova je ključna za jačanje kvaliteta i sigurnosti softvera, naročito s obzirom na sve veći broj sigurnosnih propusta i napada ransomware-a.
Na primjer, ranjivost Log4Shell, koja je otkrila kritičnu grešku u široko korištenoj open-source biblioteci, pokazala je kako jedan previd u lancu softverskog snabdijevanja može izazvati ogroman rizik.
Uobičajeni problemi
U prvom kvartalu 2025. godine, Sonatype je identifikovao 17.954 malicioznih open-source paketa, što pokazuje da napadači sve više ciljaju softverski lanac snabdijevanja.
U nekim organizacijama, sigurnost se tretira kao završna kontrolna tačka, umjesto kao sastavni dio razvojnog procesa. Kada se problemi otkriju kasno, to dovodi do kašnjenja, dodatnog posla i tenzija među timovima.
Security timovi pokušavaju smanjiti rizik kroz kontrole i smjernice koje programeri često smatraju previše složenim za praktičnu primjenu. Takva pravila mogu djelovati kao prepreke. Kada su pravila nejasna ili ne odgovaraju načinu rada programera, izazivaju frustraciju umjesto podrške.
„Često se dešava da sigurnosni tim koristi alate koji su odvojeni od alata programera, što dovodi do dugih ciklusa povratnih informacija,“ rekao je Josh Lemos, CISO u GitLabu.
Strategije za prevazilaženje jaza
Pristup „shift-left“ sigurnosti
Integrisati sigurnosne provjere što ranije u razvojni proces – idealno dok se kod još piše ili testira – bez ometanja tokova rada. Ovaj „shift-left“ pristup omogućava ranije otkrivanje problema, čime se smanjuje vrijeme i stres kasnijih ispravki.
Korištenje alata unutar postojećeg toka rada
Sigurnosni alati trebaju raditi tamo gdje programeri već rade – u uređivačima koda, u „pull requestovima“, u CI/CD procesu. Ako su prespori ili zbunjujući, ljudi ih jednostavno neće koristiti.
Automatizovani alati mogu provjeravati stvari poput loših zavisnosti ili nesigurnog koda. Ako su jednostavni i daju korisne povratne informacije, programeri će ih rado koristiti. Ovo je osnovna ideja DevSecOps-a – integrisanje sigurnosnih alata u razvojni proces, a ne izvan njega.
Kros-funkcionalna saradnja
Kada se sigurnosni timovi uključe već u fazi planiranja, mogu pomoći u identifikaciji potencijalnih rizika prije nego što se kod i napiše. Istovremeno, programeri mogu od početka razumjeti sigurnosne zahtjeve, što im omogućava donošenje boljih odluka o softverskoj arhitekturi i zavisnostima.
Pokušajte dodati retrospektive sigurnosnih incidenata kako bi timovi mogli otvoreno razgovarati o problemima i fokusirati se na rješenja. Cilj je učenje i unapređenje procesa, a ne traženje krivaca.
Praćenje napretka
Pratite ključne metrike kao što su: vrijeme potrebno za ispravku ranjivosti, broj sigurnosnih problema otkrivenih u ranoj fazi, stopa usvajanja alata i trendovi kršenja politika. Nadzorne ploče koje prikazuju ove metrike podstiču odgovornost među timovima i pomažu u identifikaciji područja za poboljšanje.
Izgradnja sigurnog softvera bez žrtvovanja brzine
Izgradnja povjerenja između timova ne dešava se preko noći. Sigurnost i brzina mogu ići zajedno. Ako timovi rade zajedno od samog početka, koriste prave alate i komuniciraju jasno, mogu graditi siguran softver bez usporavanja razvoja.
Kako je primijetio Karl Mattson, CISO u Endor Labsu: „Programeri danas mogu iskoristiti niz novih strategija koje znatno bolje adresiraju sigurnost izvornog koda i uklanjaju stare prepreke koje su stajale na putu rješavanju problema skalabilnosti i složenosti.“
Izvor:Help Net Security
