Giống như công nghệ, các công cụ, kỹ thuật và các quy trình tối ưu để phát triển mã phát triển nhanh chóng. Con người chúng ta có nhu cầu vô tận đối với nhiều phần mềm hơn, nhiều tính năng hơn, nhiều chức năng hơn và chúng tôi muốn nó nhanh hơn bao giờ hết, chất lượng hơn và trên hết là: Bảo mật.
Ước tính 68% các tổ chức trải qua các cuộc tấn công zero-day từ các lỗ hổng không được tiết lộ / chưa biết trong năm 2019, đây là một xu hướng tăng mà chúng ta cần giải quyết như một ngành công nghiệp bằng cách vận chuyển mã an toàn ở tốc độ hợp lý.
Trong khi nhiều người và tổ chức đang chuyển từ Thác nước sang Agile – và không phải ai cũng ở đó, hãy thành thực – họ đã gặp phải một vấn đề mới.
Các nhóm phát triển và các đối tác hoạt động của họ vẫn đang làm việc trong các silo và điều này vẫn gây đau đầu cho các nhà quản lý phát triển và các đối tác của họ trên toàn doanh nghiệp. Trong môi trường này, làm thế nào các nhóm nhỏ làm việc theo cách Agile có thể phân phối theo lời hứa triển khai nhanh hơn và giao hàng nhanh hơn?
Các từ thông dụng / phương pháp phát triển xếp hạng hàng đầu (trước đây và chúng tôi sẽ đến đó trong một phút) DevOps, đã được tạo để hợp nhất các chức năng của cả nhà phát triển và nhóm vận hành khi tạo phần mềm mới. Về cơ bản, điều này là để giúp các nhà phát triển sở hữu việc đưa mọi thứ vào sản xuất, thay vì ném nó qua hàng rào cho nhóm vận hành và biến nó thành trách nhiệm của họ.
Họ chắc chắn có thể vận chuyển nhanh hơn – thậm chí một vài lần mỗi ngày – dường như chơi trong con hẻm của Agile. Tuy nhiên, DevOps vẫn tạo ra một đội ngũ kỹ sư và nhân viên vận hành lớn, hỗn hợp, có thể không phù hợp với Agile trong thực tế. Cuối cùng, chúng tôi đã làm việc tại thời điểm này rằng DevOps giống như một sự tiến hóa của Agile, tương tự theo nhiều cách và bổ sung cho sự khác biệt của chúng.
Đường ống triển khai và tích hợp liên tục, tự động rõ ràng trong môi trường DevOps hoạt động là điều cần thiết để cho phép phát hành thường xuyên, nhưng không đủ ở cấp độ nhóm – và đây là lúc Agile bước vào.
Agile cho phép các nhóm, đặc biệt là các nhóm nhỏ, bắt kịp với các bản phát hành nhanh chóng và yêu cầu thay đổi này, trong khi vẫn duy trì nhiệm vụ và hợp tác. Nó chắc chắn có vẻ lý tưởng – và quá trình này có thể giúp các đội theo dõi mục tiêu cuối cùng – nhưng nó không phải là không có vấn đề riêng.
Phần mềm được tạo bằng cách sử dụng DevOps tốt nhất vẫn có khả năng vấp ngã trong cuộc đấu trùm đầu tiên: nhóm bảo mật. Khi mã được kiểm tra bởi các chuyên gia truyền thống / Waterfall AppSec, bằng cách xem xét thủ công hoặc công cụ phức tạp, họ thường tìm thấy các rủi ro và lỗ hổng không thể chấp nhận được sau đó phải được khắc phục sau thực tế.
Quá trình trang bị thêm các bản sửa lỗi bảo mật vào các ứng dụng đã hoàn thành là vô cùng hấp dẫn đối với các nhà quản lý phát triển và các nhóm đã được mở rộng của họ và không nhanh chóng cũng không dễ dàng. Về mặt kinh tế, nó cũng đắt hơn nhiều cho tổ chức.
Vì vậy, sau đó, nếu thế giới đang di chuyển trên Thác nước, Agile và bây giờ là DevOps, giải pháp là gì? Và nếu bạn đang quản lý một nhóm các nhà phát triển (hoặc là chính mình), vai trò của bạn trong việc theo kịp những thay đổi này trong cách tiếp cận là gì?
Các kỹ thuật phát triển luôn ở trong trạng thái tiến hóa không ngừng, nhưng may mắn thay, đây không phải là một sự thay đổi quá lớn. Các tổ chức chỉ cần đặt “Sec” trong “DevOps” … và do đó, DevSecOps đã ra đời. Mục tiêu chính của DevSecOps là phá vỡ các rào cản và hợp tác mở giữa các nhóm phát triển, hoạt động và cuối cùng nhưng không kém phần quan trọng.
DevSecOps đã trở thành cả một chiến thuật kỹ thuật phần mềm và văn hóa ủng hộ tự động hóa và giám sát bảo mật trong suốt vòng đời phát triển phần mềm.
Điều này có vẻ giống như một quy trình cấp tổ chức khác, có lẽ là một quy trình có “quá nhiều đầu bếp” khi nói đến một nhà phát triển với một danh sách dài các tính năng cần xây dựng. Tuy nhiên, phương pháp DevSecOps mở ra một cơ hội cho các nhà phát triển nhận thức bảo mật thực sự tỏa sáng.
DevSecOps: Một tương lai tươi sáng cho các nhà phát triển hiểu biết
Tại sao một lập trình viên – và thực sự là người quản lý của họ – muốn tăng tốc với DevSecOps?
Trước hết, thật tốt khi biết rằng đó là một bước đi tuyệt vời, và không chỉ trong nhiệm vụ làm cho thế giới an toàn trước các cuộc tấn công mạng tốn kém. Các chuyên gia nói rằng nhu cầu về nhân viên an ninh mạng tài năng đang tăng vọt mà không có kết thúc trước mắt. Những người thành thạo DevSecOps có thể mong đợi một sự nghiệp lâu dài và có lợi nhuận.
Bảo mật công việc cho các kỹ sư DevSecOps thậm chí còn được đảm bảo hơn, bởi vì không giống như các chiến thuật an ninh mạng truyền thống như quét lỗ hổng bằng một loạt các công cụ dựa trên phần mềm, DevSecOps yêu cầu những người biết cách thực hiện bảo mật khi họ mã hóa.
Như các nhà phân tích của Booz, Allen và Hamilton đã ghi chú trong blog của họ có tên 5 huyền thoại về việc áp dụng DevSecOps, các tổ chức muốn (và cần) DevSecOps, nhưng đơn giản là không thể mua nó. Họ yêu cầu các nhóm chức năng chéo tích hợp các công nghệ và hợp tác trong toàn bộ vòng đời phát triển phần mềm và điều đó đòi hỏi những người có kỹ năng, quản lý thay đổi và cam kết liên tục từ nhiều bên liên quan.
Theo Booz, Allen và Hamilton, các công ty có thể mua các ứng dụng và công cụ để trợ giúp một số khía cạnh nhất định của DevSecOps, như phần mềm quản lý phát hành, “nhưng đó thực sự là các nhóm giao hàng của bạn khiến điều đó xảy ra.” Họ là những người thúc đẩy sự cải tiến liên tục được cung cấp bởi DevSecOps và sự thay đổi văn hóa và mô hình của nó.
Các tổ chức không thể “mua” chương trình DevSecOps khả thi; nó phải được xây dựng và duy trì, sử dụng một loạt các công cụ, kiến thức nội bộ và hướng dẫn nâng cao văn hóa bảo mật, đồng thời cũng có ý nghĩa kinh doanh. Điều đó không dễ, nhưng nó không thể xa được.
Làm thế nào bạn có thể đá đít trong phong trào DevSecOps
Một trong những bước đầu tiên trên con đường trở thành – hoặc hỗ trợ kỹ năng nâng cao – của một kỹ sư DevSecOps là nhận ra rằng đó là một nền văn hóa giống như một tập hợp các kỹ thuật. Nó đòi hỏi ý chí thực thi bảo mật như là một phần của mỗi bit mã mà bạn tạo và mong muốn chủ động bảo vệ tổ chức của bạn bằng cách chủ động tìm kiếm các lỗ hổng bảo mật và lỗ hổng bảo mật khi bạn mã hóa, sửa chúng từ lâu trước khi chúng được đưa vào sản xuất. Hầu hết các kỹ sư DevSecOps rất coi trọng nghề nghiệp và kỹ năng của họ. Tổ chức chuyên nghiệp DevSecOps thậm chí có một bản tuyên ngôn nêu rõ niềm tin của họ.
Bản tuyên ngôn là loại nặng tay, vì bản tuyên ngôn hiếm khi đọc nhẹ. Nhưng cốt lõi là một vài sự thật mà tất cả các kỹ sư DevSecOps tuyệt vời nên học cách nắm lấy, như:
- Nhận ra rằng nhóm bảo mật ứng dụng là đồng minh của bạn. Tại hầu hết các tổ chức, các chuyên gia AppSec đang tranh chấp với các nhà phát triển, vì họ luôn gửi mã hoàn thành để có thêm công việc. Các nhóm AppSec thường không có nhiều tình yêu ngay cả đối với các nhà phát triển vì họ có thể trì hoãn mã hoàn thành khỏi việc sản xuất bằng cách đưa ra các lỗi bảo mật phổ biến. Tuy nhiên, một kỹ sư DevSecOps thông minh sẽ nhận ra rằng các mục tiêu của nhóm bảo mật cuối cùng giống như các nhà phát triển và lập trình viên. Bạn không cần phải là bạn tốt nhất, nhưng hình thành mối quan hệ công việc bình tĩnh và hợp tác là điều tối quan trọng để thành công.
- Thực hành và tinh chỉnh các kỹ thuật mã hóa an toàn của bạn. Nếu bạn có thể tìm ra cách mà các ứng dụng dễ bị tấn công trong khi chúng vẫn đang được xây dựng, việc đóng những kẽ hở đó có thể ngăn chặn các tin tặc trong tương lai. Tất nhiên, điều này đòi hỏi cả sự hiểu biết về các lỗ hổng và các công cụ để giúp khắc phục chúng. Đối với các nhà phát triển hoàn toàn mới về bảo mật – ngay cả Top 10 của OWASP – Blog chiến binh bảo mật các trang có thể cung cấp cái nhìn sâu sắc về các lỗ hổng phổ biến và nguy hiểm nhất mà bạn sẽ gặp phải, cũng như lời khuyên và thách thức thực tế để kiểm tra kiến thức của bạn. Khía cạnh quan trọng nhất là giữ an ninh trước mắt và dành thời gian cho việc đào tạo quy mô lớn giúp bạn xây dựng kiến thức hiện có. Việc các tương tác của nhà phát triển với bảo mật trở nên khá phổ biến là thậm chí không đáng kể, thậm chí tiêu cực trong bảo mật là một bước tiến lớn trong sự nghiệp. Ngoài ra, nó không phải là một việc vặt, đặc biệt là với một mạng lưới hỗ trợ cung cấp đào tạo và thời gian để thực sự làm điều đó trong giờ làm việc.
- Hãy nhớ rằng: các siêu sao DevSecOps đóng góp cho văn hóa bảo mật tích cực tại tổ chức của họ. Thay vì tập trung vào các mục tiêu trong quá khứ, như phân phối ứng dụng nhanh chóng bất kể các vấn đề cố hữu của chúng, điều quan trọng là phải tìm và sửa các lỗ hổng trong việc phát triển mã là ưu tiên hàng đầu. Bảo mật phải được coi là công việc của mọi người và mọi người nên chia sẻ trong phần giới thiệu và phần thưởng đến từ việc triển khai các ứng dụng hiệu quả và bảo mật cao mỗi lần.
Bạn có thể giúp nuôi dưỡng một nền văn hóa bảo mật đáng kinh ngạc tại tổ chức của mình bằng cách bảo vệ các thực tiễn tốt nhất về mã hóa và bảo mật từ đầu, đề xuất các giải pháp đào tạo và đảm bảo không có lập trình viên nào bị bỏ lại trong thế giới tất cả, nhanh chóng DevSecOps.
Mã tốt duy nhất là an toàn và có kỹ năng, các nhà phát triển nhận thức bảo mật là những phần quan trọng của câu đố. Phần thưởng cá nhân và chuyên nghiệp chắc chắn xứng đáng với nỗ lực và với hàng tỷ hồ sơ dữ liệu cá nhân bị xâm phạm mỗi năm (và đang phát triển), chúng tôi cần bạn. Giữ vị trí của bạn trên chiến tuyến và giúp bảo vệ chống lại những kẻ xấu trong thế giới kỹ thuật số của chúng tôi.
Quan tâm đến việc thực hiện các bước đầu tiên của bạn đến một tương lai an toàn hơn? Chiến binh mã an toàn có nhiều tài nguyên miễn phí, tôi khuyên bạn nên bắt đầu từ đây: “Hướng dẫn chiến thuật năm điểm dành cho nhà phát triển an toàn” Giấy trắng.
