Softwareentwicklungsteams sind mit dem wachsenden Druck ausgesetzt, ihre Entwicklungslebenszyklen zu verkürzen und Produkte schneller als je zuvor zu überschreiten. Je früher eine fertige Bewerbung gestartet wird, desto größer ist die Wahrscheinlichkeit, dass die Nachfrage der Kunden gerecht wird und einen Marsch über den Wettbewerb stiehlt, um den Marktanteil zu beanspruchen. Ebenso erleichtert es einfacher, Kunden zu korrigieren und neue Funktionen live zu erhalten, um Kunden zufrieden zu stellen.
Während Zeit Geld ist, kann mehr Geschwindigkeit auch schnell mehr Schwachstellen in die Anwendung einbringen. Während ein bestimmtes Risiko akzeptabel ist, kann es sich kein Entwickler leisten, eine große Sicherheitsverletzung zu haben, die all seine harte Arbeit rückgängig macht.
Um die Sache noch schlimmer zu machen, reichen Cyberkriminalitätsgruppen zunehmend an diesen Geschwindigkeitsbedarf und nutzen kritisch aus Open Source Ressourcen zum Infiltrieren der Software -Lieferkette.
Entwickler benötigen Kenntnisse, Ressourcen und Unterstützung, um ihren Code sicher zu halten, und so minimale Auswirkungen auf die Entwicklungspläne wie möglich.
Engagiertes Training in der Nähe Zusammenarbeit Mit ihren Anwendungssicherheits -Kollegen ist eine der wichtigsten Möglichkeiten, um Entwickler zu befähigen, dieses Gleichgewicht zu erreichen.
Senior Product Marketing Manager bei CheckMarx.
Die wachsenden Risiken bei der Open-Source-Entwicklung
Einer der Gründe für einen stärkeren Fokus auf AppSec-Fähigkeiten ist das wachsende Anliegen des Code von Unsicherheit von Drittanbietern.
Open Source Code ist zu einer wesentlichen Ressource für Entwicklungsteams geworden, die an strengen Fristen arbeiten. Der Zugriff auf fertige Bausteine für gemeinsame Anwendungsfunktionen spart eine enorme Menge an Zeit und Ressourcen, indem sie Teams vor dem Neufinden des Rades für jedes neue Projekt und das drastisch reduzierende SDLC neu erfinden.
Der jüngste Octoverse -Bericht von Github ergab, dass es allein im Jahr 2024 mehr als eine Milliarde Beiträge zu Open -Source -Projekten gab, und zuvor schätzten es, dass rund 97% aller Anwendungen mindestens einige Open -Source -Code enthalten.
Open -Source -Vermögenswerte können jedoch auch ein unnötiges Risiko für einen einführen Anwendung. Es besteht immer die Möglichkeit, dass ein Code von Drittanbietern möglicherweise Schwachstellen hat, die von seinem Schöpfer verpasst wurden, und Bedrohungsakteure eskalieren das Risiko weiter, indem sie zielgerichtet in die Open-Source-Umgebung injizieren.
Im Oktober stellten unsere Forscher fest, dass Cyberkriminelle zielten Python Entwickler in der Blockchain -Branche, indem sie so viele anscheinend nützliche Tools für Aufgaben wie Crypto Brieftaschenmanagement und Wiederherstellung hochladen. Die Pakete beherbergen jedoch gut versteckte Malware Verschleift im Code.
Der Vorfall ist nur einer der wachsenden Anzahl von Fällen, in denen Cyberkriminelle die inhärenten Vertrauens- und Reliance -Entwickler auf Open -Source -Code -Repositorys ausgenutzt haben. Während sich die meisten seriösen Plattformen bemühen, die Sicherheit von hochgeladenen Vermögenswerten zu bewerten, bedeutet das bloße Volumen der Beiträge und das Potenzial für verschleierten Code, dass das Risiko niemals ausgeschlossen werden kann.
Entwickler mit maßgeschneidertem Training befähigen
Angesichts der Tatsache, dass ihre wertvollsten Ressourcen von Cyberkriminellen ausgenutzt werden, ist es für Entwickler wichtiger denn je, sicherheitsrelevant zu sein. Dies ist jedoch lange Zeit eine Herausforderung. Eine der größten Hindernisse ist, dass Entwickler in erster Linie Schöpfer und Codierer sind und viele Entwickler nicht die Möglichkeit haben, echte Erfahrungen in AppSec zu sammeln.
Der erste Schritt besteht also darin, Dev -Teams mit strukturiertem Training und angemessenen Ressourcen zu befähigen, wenn sie AppSec effektiv übernehmen sollen.
Es ist von entscheidender Bedeutung, dass alle Trainingsbemühungen ihren spezifischen Erfahrungen und Bedürfnissen maßgeschneidert sind. Generische Programme überwältigen Entwickler häufig mit irrelevanten Informationen, was es schwierig macht, Unterricht in der Praxis anzuwenden. Zu maßgeschneidertes, rollenspezifisches Training ist weitaus effektiver und befähigt Entwickler, einen sicheren Code zu erstellen, ohne ihren Workflow zu stören.
Eine der effektivsten Möglichkeiten, dies zu liefern, ist eine Just-in-Time-Schulung (JIT-Time), die genau dann umsetzbare Anleitungen bietet, wenn Entwickler anfällige Begegnung mit dem Sanierungsprozess stoßen. Dieser Ansatz übereinstimmt die Sicherheit mit dem schnellen Entwicklungstempo und stellt sicher, dass die Schwachstellen effizient angegangen werden. Organisationen müssen sich darauf konzentrieren, wie schnell und effizient beim Scannen von Sicherheitsgründen zusammen mit all ihren Entwicklungsrahmen und Methoden schnell und effizient zu sein.
Gamifizierte Plattformen können hier besonders effektiv sein und sichere Codierung in eine ansprechende Übung zum Aufbau von Skills verwandeln. Diese Tools fördern ein Gefühl der Eigentümer und helfen Entwicklern, Schwachstellen zu lösen und ihre breiteren Auswirkungen zu verstehen.
Schulungen und Entwicklung müssen Echtzeit-Feedback mit minimalen Auswirkungen auf den Entwicklungsworkflow geben.
Steigern Sie die Zusammenarbeit mit der Sicherheitsmentorschaft
Während Tools und Schulungen unerlässlich sind, können Mentoring -Programme noch weiter in die Überbrückung von Wissen und Ausführung in die Schließung von Lücken und Ausführung führen. Dies beinhaltet die Einbettung von Sicherheitsingenieuren in Entwicklungsteams, um Anleitungen und praktische Schulungen zu bieten. Dieser Ansatz hilft bei der Förderung der Zusammenarbeit und zur Festlegung einer gemeinsamen Verantwortung für sichere Codierung, die proaktiv und effizient mit Problemen befasst.
Mentoren stellen nicht sicher, dass die Sicherheit zu einem integralen Bestandteil des Entwicklungsprozesses wird, sondern kann auch die Struktur „US und sie“ entfernen, die zwischen Sicherheit und Entwicklung üblich ist.
Gut etablierte Mentoring-Programme setzen sich in den iterativen Prozess ein und dieser Code ist bei der Veröffentlichung sicher. Dies ist besonders nützlich für kleinere Organisationen mit begrenzteren Ressourcen.
Erste Schritte mit Sicherheit Mentoring
Für Organisationen, die noch keinen Sicherheitsmentor für ihr Entwicklungsteam haben, kann ein Mentoring -Programm ziemlich einfach sein. Der erste Schritt besteht darin, Freiwillige zu bitten, die sich engagieren möchten. Mentoren sollten ein echtes Interesse daran haben, sichere Codierungspraktiken aufzubauen, anstatt das Gefühl zu haben, mehr Arbeit zu übernehmen.
Freiwillige profitieren auch davon, neue Fähigkeiten zu erwerben und ihre Rolle als Entwickler zu diversifizieren. Ressourcen wie Codebashing können einen strukturierten Ansatz für die Entwicklung von AppSec -Fähigkeiten sowie andere Informationsvermögen wie wie Webinare und Ereignisse.
In einer mit Bedrohung erfüllten Landschaft gedeihen
Mit zunehmendem internem Druck für schnellere und effizientere Entwicklungszyklen können sich Entwicklungsteams häufig zwischen einem Stein und einem harten Ort gefangen fühlen.
Um sie zu befähigen, in der heutigen schnelllebigen Umgebung zu gedeihen, müssen Unternehmen Entwickler bei der Integration der Sicherheit in jede Entwicklungsphase unterstützen. Zu maßgeschneiderte Schulungen und kollaborative Mentoring -Entwickler richten sich Entwickler aus, um Schwachstellen effizient anzugehen, ohne die Innovation zu verlangsamen.
Wir bieten eine Liste der besten Software für mobile App -Entwicklung.
Dieser Artikel wurde als Teil des Expert Insights Channel von TechRadarPro produziert, in dem wir heute die besten und klügsten Köpfe in der Technologieindustrie bieten. Die hier geäußerten Ansichten sind die des Autors und nicht unbedingt die von TechRadarPro oder Future Plc. Wenn Sie daran interessiert sind, hier mehr zu ermitteln: https://www.techradar.com/news/submit-your-story-techradar-pro
Source link
