Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

Tehokkaat ohjelmistokehitystiimit käyttävät karkeasti puolet vähemmän aikaa tietoturvallisuusongelmien korjaamiseen kuin heikommin menestyvät lajitoverinsa. Tietoturvatavoitteita paremmin päivittäiseen kehitystyöhön liittäen on mahdollista parantaa koodin laatua ja luoda turvallisempia järjestelmiä. Tätä periaatetta kutsutaan nimellä shift left on security, koska siinä huolenpitoa ja huomiota kaipaavat asiat — potentiaaliset tietoturvallisuusongelmat mukaan lukien — käsitellään jo aiemmin ohjelmistokehityksen elinkaaressa.

Shift left on security

Shift left on security -termillä tarkoitetaan siis tietoturvan vankkaa integrointia ohjelmistokehitysprosessin suunnittelu- ja testausvaiheisiin. Tähän kuuluvat mm.

  • sovellusten tietoturvatarkastukset
  • tietoturvasta vastaavien henkilöiden ja yksiköiden mukaan ottaminen jo sovellusten suunnittelu- ja demovaiheessa
  • ennalta tarkastettujen ja ennalta hyväksyttyjen kirjastojen sekä asennuspakettien käyttäminen; sekä
  • tietoturvan testaaminen osana automatisoitua testijoukkoa

Ohjelmistokehitysprosessiin kuuluvat yleensä ainakin suunnittelu-, kehitys-, testaus- ja julkaisuvaiheet. Perinteisesti testaus — mukaan lukien tietoturvatestaus — tapahtuu kehitysvaiheen jälkeen. Tämä tarkoittaa sitä, että mikäli kehitysvaiheen päätyttyä havaitaan merkittäviä ongelmia (ja näitä usein myös todellakin havaitaan), joudutaan tavallaan käynnistämään aiempia vaiheita uudelleen ja hyväksymään tästä aiheutuva kokonaiskustannusten nousu.

Shift-Left

Tietoturvan fail fast

Sitä mukaa kun ongelmia havaitaan, on löydettävä niiden syntyyn vaikuttavat tekijät ja ratkaisuja näiden ongelmien korjaamiseen. Monimutkaisissa järjestelmissä kyse ei useinkaan ole yhdestä ainoasta syystä, vaan useiden yksittäisten asioiden vuorovaikutuksesta. Turvallisuuteen, suorituskykyyn ja palvelun saatavuuteen liittyvien vikojen jälkeenpäin tapahtuva korjaaminen on kallista ja aikaa vievää puuhaa — edessä voi olla jopa kokonaisarkkitehtuuriin vaikuttavia muutoksia. Vian löytämiseen, ratkaisun kehittämiseen ja korjauksen implementointiin ja testaamiseen vaadittu aika voi olla arvaamattoman pitkä. Tämä johtaa toimitusten myöhästymiseen ja käyttäjien tarpeettomaan turhautumiseen.

Onko se laatua - kyllä se on

Ottamalla tietoturvan osaksi kehitystyötä jo varhaisessa vaiheessa, voivat kehittäjät ja kehitystiimit saavuttaa merkittäviä tehokkuus- ja laatuhyötyjä — sen sijaan että jättäisivät testauksen kehitysprosessin loppuvaiheeseen ja joutuisivat tekemään samoja asioita uudelleen. Ideaalitilanteessa merkittävä osa tästä testaustyöstä voitaisiin automatisoida, mutta ehdottomasti paras vaihtoehto olisi tuottaa jo valmiiksi mahdollisimman ongelmatonta koodia.
Veracode Security Labs - Choose lab topic

Mitä sitten

Shift left on security edellyttää muutoksia perinteisiin tietoturvakäytäntöihin, mutta lähemmin tarkasteltuna kyseessä ei kuitenkaan ole merkittävä poikkeama perinteisisin ohjelmistokehitysmenetelmiin verrattuna.

Kerromme mielellämme lisää shift leftistä ja sen tuomista mahdollisuuksista tuottaa entistä parempia ohjelmistoja!

Miten käytännössä 

Katso webinaaritallenne Hands-On Training to Shift AppSec Knowledge Left.

Tallenne on Mint Securityn ja Veracoden yhteisestä webinaarista, jossa esitellään Veracoden Security Labs -palvelua, Yleisesittelyn lisäksi mukana on palvelun käytännön demo, jossa käydään läpi miten erilaisia tietoturvahaasteita voidaan käsitellä ohjelmoinnissa. 

 
SAMM and BSIMM
samm
Brian Glas

Vierasblogi: BSIMM ja SAMM — mitä yhteistä, mitä eroa?

BSIMM ja SAMM -malleilla on samankaltainen alkuperä, joka juontaa juurensa vuosiin 2008-2009. Minulta kysytään usein, mitä yhteistä ja mitä eroa näillä kahdella mallilla on, joten kirjoitin tämän vertailun auttaakseni organisaatioita ymmärtämään, kumpi näistä kahdesta saattaisi paremmin sopia heidän tarpeisiinsa.

Lue lisää »
OWASP SAMM v2 - domains
samm
Saku Tuominen

OWASP SAMM v2 – Mikä muuttui

Over the last 10+ years, OWASP SAMM has proven an effective model for improving secure software practices to a wide variety of organizations. Release v2 of SAMM adds automation along with maturity measurements which assess both coverage and quality. Here we look at some the new features and changes compared to the previous version.

Lue lisää »
Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.