Tehokkaat ohjelmistokehitystiimit käyttävät karkeasti puolet vähemmän aikaa tietoturvallisuusongelmien korjaamiseen kuin heikommin menestyvät lajitoverinsa. Tietoturvatavoitteita paremmin päivittäiseen kehitystyöhön liittäen on mahdollista parantaa koodin laatua ja luoda turvallisempia järjestelmiä. Tätä periaatetta kutsutaan nimellä shift left on security, koska siinä huolenpitoa ja huomiota kaipaavat asiat — potentiaaliset tietoturvallisuusongelmat mukaan lukien — käsitellään jo aiemmin ohjelmistokehityksen elinkaaressa.
Shift left on security
Shift left on security -termillä tarkoitetaan siis tietoturvan vankkaa integrointia ohjelmistokehitysprosessin suunnittelu- ja testausvaiheisiin. Tähän kuuluvat mm.
- sovellusten tietoturvatarkastukset
- tietoturvasta vastaavien henkilöiden ja yksiköiden mukaan ottaminen jo sovellusten suunnittelu- ja demovaiheessa
- ennalta tarkastettujen ja ennalta hyväksyttyjen kirjastojen sekä asennuspakettien käyttäminen; sekä
- tietoturvan testaaminen osana automatisoitua testijoukkoa
Ohjelmistokehitysprosessiin kuuluvat yleensä ainakin suunnittelu-, kehitys-, testaus- ja julkaisuvaiheet. Perinteisesti testaus — mukaan lukien tietoturvatestaus — tapahtuu kehitysvaiheen jälkeen. Tämä tarkoittaa sitä, että mikäli kehitysvaiheen päätyttyä havaitaan merkittäviä ongelmia (ja näitä usein myös todellakin havaitaan), joudutaan tavallaan käynnistämään aiempia vaiheita uudelleen ja hyväksymään tästä aiheutuva kokonaiskustannusten nousu.
Tietoturvan fail fast
Onko se laatua - kyllä se on
Mitä sitten
Shift left on security edellyttää muutoksia perinteisiin tietoturvakäytäntöihin, mutta lähemmin tarkasteltuna kyseessä ei kuitenkaan ole merkittävä poikkeama perinteisisin ohjelmistokehitysmenetelmiin verrattuna.
Kerromme mielellämme lisää shift leftistä ja sen tuomista mahdollisuuksista tuottaa entistä parempia ohjelmistoja!
Miten käytännössä
Katso webinaaritallenne Hands-On Training to Shift AppSec Knowledge Left.
Tallenne on Mint Securityn ja Veracoden yhteisestä webinaarista, jossa esitellään Veracoden Security Labs -palvelua, Yleisesittelyn lisäksi mukana on palvelun käytännön demo, jossa käydään läpi miten erilaisia tietoturvahaasteita voidaan käsitellä ohjelmoinnissa.
Veracode SOSS 11 – sovellusten yleisimmät tietoturvapuutteet
Veracoden vuosittaisessa tietoturvaskannausten tilastoraportissa, State of the Software Security (SOSS), listataan ja analysoidaan sovellusten yleisimpiä tietoturvapuutteita. Tarkastelun tavoitteena on ensisijaisesti auttaa tiimejä löytämään virheet ja puutteet; ja korjaamaan ne.
Vierasblogi: BSIMM ja SAMM — mitä yhteistä, mitä eroa?
BSIMM ja SAMM -malleilla on samankaltainen alkuperä, joka juontaa juurensa vuosiin 2008-2009. Minulta kysytään usein, mitä yhteistä ja mitä eroa näillä kahdella mallilla on, joten kirjoitin tämän vertailun auttaakseni organisaatioita ymmärtämään, kumpi näistä kahdesta saattaisi paremmin sopia heidän tarpeisiinsa.
OWASP SAMM v2 – Mikä muuttui
Over the last 10+ years, OWASP SAMM has proven an effective model for improving secure software practices to a wide variety of organizations. Release v2 of SAMM adds automation along with maturity measurements which assess both coverage and quality. Here we look at some the new features and changes compared to the previous version.
