Tapio Särkelä

Tapio Särkelä

The author works as a Cyber Sales Lead in Mint Security. Helping software companies to make Secure DevOps.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

Juuri julkaistussa podcastissa Veracoden CTO Chris Wysopal arvioi sovellusten tietoturvan evoluutiosta viimeisen kymmenen vuoden aikana. 

Wysopal perustaa arvionsa Veracoden vuosittain julkaisemaan State of Software Security (SOSS) -raporttiin, josta ilmestyi kymmenes julkaisu jokin aikaa sitten. SOSS -raportin ensimmäinen julkaisu vuonna 2010 keskittyi kuvaamaan ja korostamaan sovellusten tietoturvan merkitystä. Raportin kymmenes julkaisu antaa kuvan, miten tietoturvallinen sovelluskehitystä toteutetaan käytännössä.

Suunnitelmallisempaa toimintaa

Lähestymiskulma sovellusten tietoturvaan on muuttunut tietoisuuden lisäämisestä yhtä suunnitelmallisemmaksi, mikä on positiivinen signaali tietoturvan merkityksen noususta. Tämä näkyy myös siinä, että skannattujen ohjelmien määrä on kasvanut valtavasti vuosien aikana. Samaan aikaan myös haavoittuvuuksien määrä on kasvanut. Hyvä kehitystä puolestaan kuvaa se, että vakavien haavoittuvuuksien määrä on laskenut, mikä tavallaan kertoo korjausten priorisoinnista: vakavat ja riskialttiit virheet korjataan ensin.

Tätä kehitystä voidaan tarkastella kahdesta eri näkökulmasta. Ensinnäkin, mikäli sovellusten tietoturva on vasta alkuvaiheessa, onkin järkevää, että todella vakavat haavoittuvuudet korjataan ensin. Toisaalta, kun sovellusten tietoturva on ollut jo käytössä, sen kypsyysastetta on hyvä nostaa.  Vakiintunut, parhaita käytäntöjä hyödyntävä tietoturvaorganisaatio ei erityisesti suosi mitään sovellusta tai ongelmaa, vaan skannaa kaikki sovellukset ja korjaa kaikki haavoittuvuudet.

DevSecOps

Kun tietoturvasta tehdään standardisoitu DevSecOps (tai myös SecDevOps) menetelmän mukainen, tietoturvasta tulee elimellinen osa sovelluskehitystä. DevSecOpsiin siirtyminen edellyttää usein erilaisten siilojen purkamista ja kehitys- ja tietoturvatiimien välistä saumatonta yhteistyötä. Tietoturva käsitetään usein kehitystyön vastapooliksi, mutta kun osapuolet ymmärtävä toistensa roolit, voidaan ottaa käyttöön ns. ”security champion” -rooli. Tässä roolissa toimivat kehittäjät/koodarit sitoutuvat toimimaan tietoturvan lähettiläinä omassa tiimissään.

Viime kädessä tietoturvan pitäisi olla osa kehittäjien ajatusmaailmaa ja sen pitäisi tulla mukaan jo koulutusvaiheessa.

Lisää aiheesta Chris Wysopalin podcastissa: https://info.veracode.com/podcasts-idg-hard-look-software-security.html

 
Veracode feature picture

Veracode

SAST – Koodin staattinen tarkistus SCA – Kirjastoanalyysi ja inventaario SDLC sovelluskehitysintegraatio Koko sovellusportfolion tietoturvan hallinta yhdessä ja samassa palvelussa Veracoden palvelun avulla voidaan arvioida

Lue lisää »
Tapio Särkelä

Tapio Särkelä

The author works as a Cyber Sales Lead in Mint Security. Helping software companies to make Secure DevOps.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.