Tehokkaat ohjelmistokehitystiimit käyttävät karkeasti puolet vähemmän aikaa tietoturvallisuusongelmien korjaamiseen kuin heikommin menestyvät lajitoverinsa. Tietoturvatavoitteita paremmin päivittäiseen kehitystyöhön liittäen on mahdollista parantaa koodin laatua ja luoda turvallisempia järjestelmiä. Tätä periaatetta kutsutaan nimellä shift left on security, koska siinä huolenpitoa ja huomiota kaipaavat asiat — potentiaaliset tietoturvallisuusongelmat mukaan lukien — käsitellään jo aiemmin ohjelmistokehityksen elinkaaressa.
Shift left on security
Shift left on security -termillä tarkoitetaan siis tietoturvan vankkaa integrointia ohjelmistokehitysprosessin suunnittelu- ja testausvaiheisiin. Tähän kuuluvat mm.
- sovellusten tietoturvatarkastukset
- tietoturvasta vastaavien henkilöiden ja yksiköiden mukaan ottaminen jo sovellusten suunnittelu- ja demovaiheessa
- ennalta tarkastettujen ja ennalta hyväksyttyjen kirjastojen sekä asennuspakettien käyttäminen; sekä
- tietoturvan testaaminen osana automatisoitua testijoukkoa
Ohjelmistokehitysprosessiin kuuluvat yleensä ainakin suunnittelu-, kehitys-, testaus- ja julkaisuvaiheet. Perinteisesti testaus — mukaan lukien tietoturvatestaus — tapahtuu kehitysvaiheen jälkeen. Tämä tarkoittaa sitä, että mikäli kehitysvaiheen päätyttyä havaitaan merkittäviä ongelmia (ja näitä usein myös todellakin havaitaan), joudutaan tavallaan käynnistämään aiempia vaiheita uudelleen ja hyväksymään tästä aiheutuva kokonaiskustannusten nousu.
Tietoturvan fail fast
Onko se laatua - kyllä se on
Mitä sitten
Shift left on security edellyttää muutoksia perinteisiin tietoturvakäytäntöihin, mutta lähemmin tarkasteltuna kyseessä ei kuitenkaan ole merkittävä poikkeama perinteisisin ohjelmistokehitysmenetelmiin verrattuna.
Kerromme mielellämme lisää shift leftistä ja sen tuomista mahdollisuuksista tuottaa entistä parempia ohjelmistoja!
Miten käytännössä
Katso webinaaritallenne Hands-On Training to Shift AppSec Knowledge Left.
Tallenne on Mint Securityn ja Veracoden yhteisestä webinaarista, jossa esitellään Veracoden Security Labs -palvelua, Yleisesittelyn lisäksi mukana on palvelun käytännön demo, jossa käydään läpi miten erilaisia tietoturvahaasteita voidaan käsitellä ohjelmoinnissa.
Skannasimme Koronavilkun – tässä havaintomme
Me Mint Securityssä halusimme tutustua Koronavilkku-sovellukseen ja kantaa kortemme kekoon. Koronavilkku osoittautui tietoturvaltaan hyvin korkeatasoiseksi. Merkittäviä turvallisuuteen liittyviä havaintoja emme todenneet.
Tietoturva ohjelmistokehityksessä ja Shift Left
Tehokkaat ohjelmistokehitystiimit käyttävät karkeasti puolet vähemmän aikaa tietoturvallisuusongelmien korjaamiseen kuin heikommin menestyvät lajitoverinsa. Tietoturvatavoitteita paremmin päivittäiseen kehitystyöhön liittäen on mahdollista parantaa koodin laatua ja luoda turvallisempia järjestelmiä. Tätä periaatetta kutsutaan nimellä shift left on security.
Agenttipohjainen SCA – sovelluskirjastojen hallintaa
Tänään esittelen teille Veracoden ”uuden” SCA:n, eli vuoden 2018 SourceClear hankinnan. Tämä on agenttipohjainen SCA, ja se integroituu CI/CD pipelineen.
