U idealnom svijetu, bezbjednosni i razvojni timovi bi radili zajedno u savršenoj harmoniji. Ali živimo u svijetu konkurentskih prioriteta, gdje se DevOps i odjeli bezbjednosti često sukobljavaju.
Agilnost i sigurnost često su u suprotnosti jedno s drugim, te ako se nova funkcija isporuči brzo često sadrži bezbjednosne propuste, SecOps tim će morati da skrenira izdanje i zakrpi ranjivosti, što može potrajati danima ili sedmicama. S druge strane, ako SecOps timu treba predugo da pregleda i odobri novu funkciju, razvojni tim će biti frustriran sporim tempom isporuke.
Bezbjednost želi da se proces odvija polako i oprezno, dok razvoj želi da se proces odvija brzo i brzo objavi nove funkcije. DevOps timovi mogu gledati na bezbjednost kao na prepreku u svom radu umjesto kao na važan dio procesa. Sa svakim timom koji se vuče u suprotnim smjerovima, često dolazi do napetosti i sukoba između dva tima, usporavajući razvoj i ostavljajući organizacije otvorenim za bezbjednose rizike.
Vrijeme je za automatizovanje bezbjednosnog testiranja
Jedan od načina da se riješi ovaj sukob je automatizovanje testiranja sa svakim izdanjem. Umjesto pokretanja jednokratnog PenTest-a kada se web aplikacija pokrene, sigurnosni timovi bi trebali osigurati da se ranjivosti ne uvode ponovo sa svakim novim izdanjem i ažuriranjem u pristupu poznatom kao “kontinuirana bezbjednost“.
U kontinuiranoj bezbjednosti, SecOps tim je rano i često uključen u proces razvoja. Oni rade s programerima kako bi razumjeli rizike povezane s novim funkcijama i pomogli im da pronađu načine da ih ublaže. Ranim uključivanjem, SecOps tim može pomoći da se osigura da se nove funkcije razvijaju imajući na umu bezbjednost od samog početka.
Prednosti kontinuiranog testiranja penetracije
Testiranje penetracije je kritična komponenta bezbjednosti web aplikacija. Kako se površine napada šire i aplikacije postaju složenije, redovni testovi penetracije postaju ključna komponenta snažnog bezbjednosnog sistema web aplikacije.
Međutim, testiranje penetracije se često provodi periodično, što rezultira “bezbjednosnim sprintom” svaki put kada se zakaže novi test. Kada se provodi kasno u ciklusu izdavanja, testiranje penetracije može poremetiti razvojni proces. Otkrivanje ranjivosti samo na određenim tačkama u razvoju često zahtijeva opsežnu i skupu doradu za Dev i DevOps timove.
Kao sastavni dio pomjeranja lijevo i poboljšanja tokova rada između DevOps i Security timova, testiranje bezbjednosti web aplikacija mora biti ugrađeno u proces razvoja. Na ovaj način, ranjivosti se mogu otkriti i popraviti prije nego što se kod uopšte postavi u proizvodnju.
Kontinuirani pristup testiranju je efikasan način za integraciju testiranja bezbjednosti u proces razvoja tako da organizacije mogu identifikovati ranjivosti bez ometanja ciklusa izdavanja. Međutim, uprkos prednostima, redovno i stalno testiranje penetracije može biti izazovno za implementaciju. To je proces koji zahtijeva puno resursa i zahtijeva alate i stručnost koji možda nisu lako dostupni.
Pen-Testing-as-a-Service: Usklađivanje DevOps i SecOps prioriteta
Jedno od rešenja je partnerstvo s dobavljačem koji je specijalizovan za kontinuirano testiranje penetracije i koji može pomoći u implementaciji istog u Vašoj organizaciji. Sa Pen-Testing-as-a-Service (PTaaS) možete brzo i jednostavno započeti kontinuirano testiranje penetracije bez ulaganja u dodatne resurse ili proširenja svog tima.
PTaaS rešenja grade zajedničko razumijevanje bezbjednosnih problema i njihovog uticaja. Kada se članovima razvojnog tima pruži prilika da testiraju svoj kod na ranjivosti i poprave ih prije nego stignu do proizvodnje, oni postaju više angažovani u bezbjednosti aplikacija koje grade. Neka PTaaS rješenja idu korak dalje nudeći funkcije koje programerima olakšavaju otklanjanje ranjivosti, kao što je pružanje ispravaka jednim klikom za uobičajene probleme.
Outpost24 Pen-Testing-as-a-Service (PTaaS) pruža kontinuirano testiranje penetracije za web aplikacije tokom ugovornog perioda, obično godinu dana ili duže. Uključuje alate i stručnost koja vam je potrebna za implementaciju kontinuiranog testiranja penetracije u Vašoj organizaciji.
Outpost24 PTaaS rešenje nudi nekoliko prednosti, uključujući:
- Povećana bezbjednost web aplikacija: Integracijom bezbjednosnog testiranja u proces razvoja, možete pronaći i popraviti ranjivosti rano, prije nego što imaju priliku da izazovu probleme.
- Kontinuirana pokrivenost: PTaaS pruža kontinuiranu pokrivenost Vaših aplikacija tako da možete biti sigurni da su uvijek sigurne, čak i nakon razvojnih ažuriranja i sanacije ranjivosti.
- Stručnost na zahtjev : Sa PTaaS-om imate pristup stručnosti koja Vam je potrebna, kada Vam je potrebna, uključujući komunikaciju na portalu 24/7.
- Poboljšana efikasnost: PTaaS može pomoći vašoj SecOps komunikaciji sa DevOps-om zahvaljujući jasnim koracima sanacije i ponovnog testiranja koji omogućavaju kontinuirani razvoj tokom perioda testiranja penetracije.
PTaaS je isplativo rešenje koje spaja razvoj aplikacija i bezbjednosne procese u DevSecOps, kontinuirani, automatizovani i sigurni životni ciklus razvoja softvera. Usklađivanjem prioriteta razvojnih, sigurnosnih i operativnih timova, PTaaS omogućava organizacijama da brže isporučuju siguran softver.
Izvor: The Hacker News