פיתוח קוד מאובטח: מגשרים על הפער שבין DevOps מהיר לאבטחת מידע
NessPRO ו-Veracode יקיימו ביום ד' הקרוב, ה-22 ביוני, יום עיון שיעסוק בנושא זה
NessPRO, קבוצת מוצרי התוכנה של נס, ו-Veracode יקיימו בשבוע הבא יום עיון בנושא שמעסיק ארגוני פיתוח בכל העולם: הצורך לגשר בין תהליכי DevOps גמישים ומהירים לבין הצורך לוודא כי המערכות והקוד המפותח יעמדו בסטנדרטים אבטחתיים. יום העיון יתקיים ביום ד' הקרוב, ה-22 ביוני, ב-Kitchen and Garden בתל יצחק, בין השעות 09:00-14:00, וירצו בו מומחים מ-Veracode ומ-NessPRO. לתוכנית המלאה של יום העיון ולהרשמה אליו לחצו כאן.
Veracode הינה חברה גלובלית בתחום של פתרונות לבדיקות אבטחת אפליקציות (AST), ומובילה כבר תשע שנים ברציפות בדו"חות של חברות מחקר וייעוץ טכנולוגי בולטות. מוצרי Veracode משווקים בישראל בלעדית על ידי NessPRO.
"צוותי ה-DevOps צריכים ללמוד ולהכיר היטב כלי בדיקת אבטחה המיועדים לתהליכי פיתוח כגון SAST ,DAST ,IAST ו-SCA", אמר כריס ויסופאל, המייסד והמנהל הטכנולוגי הראשי של Veracode. "הם צריכים להבין כיצד ניתן למנוע חשיפות אבטחת מידע או לתקן את הממצאים שזוהו על ידי כלי האבטחה. על צוותי אבטחה להבין כיצד עובדים תהליכי וכלי DevSecOps. בהתאם לכך, הם יוכלו להגדיר כללי מדיניות, כגון משך זמן לתיקון החשיפות שיתאימו לצוות ה-DevSecOps".
מה החזון של Veracode לגישור על הפער בין DevOps לאבטחה?
"הלקוחות שלנו משתמשים בכלים של Veracode בתהליכי אינטגרציה, כלי ותהליכי DevSecOps כגון אינטגרציות IDE ,Pipeline ,Repo ואיתור של ליקויים וכשלים", אמר ויסופאל. "Veracode Security Labs יכולה להדריך את המפתחים כדי שיוכלו להבין, למנוע או לתקן את ממצאי האבטחה. צוות האבטחה לוקח על עצמו תפקיד של קביעת המדיניות והוא לא חייב להשתתף בפועל בתהליכי הבדיקה או הטיפול בממצאים, אלא על בסיס חריג. ככלל, בכל ארגון, לצוותי האבטחה ולצוותי הפיתוח יש את המטרות שלהם, והם צריכים לעבוד בשיתוף פעולה על מנת לעמוד גם ביעדי הפיתוח וגם בצרכי אבטחת המידע של הארגון".
בחודש שעבר הכריזה Veracode על CSSP (ר"ת Continuous Software Security Platform), שמהווה קפיצת מדרגה ודור חדש של פלטפורמת אבטחת תוכנה. לדברי ויסופאל, הרעיון של CSSP הוא שכלי אבטחת תוכנה חייבים להיות חלק מתהליך פיתוח התוכנה כבר מהשלב המוקדם (Far left) של הגדרת ואפיון הדרישות, ועד לשלב המתקדם (Far right) של ניהול וניטור (Observability) במערכות הייצור.
"אבטחת התוכנה עברה מזמן לשלב מוקדם בתהליך הפיתוח (Shifted left), אבל היא חייבת להקדים עוד יותר ולהתחיל לפני תהליכי הקידוד, ולכלול מידול איומים ועיצוב מאובטח. ניטור נכון בשלבי הייצור יכול לזהות שונות ושחיקה ביחס למה שהוכנס לייצור על ידי צוות ה-DevOps, כך שניתן לתקן אותה. תהליכי משוב מהייצור יכולים להתריע על מודל איומים אופרטיבי כאשר מערכות הייצור משתנות", לדברי ויסופאל.
APIs הם כיום קריטיים יותר מתמיד לבניית אפליקציות מודרניות, וגם הם פגיעים. ויסופאל הסביר שהפתרון של Veracode לבעיית הפגיעות של APIs הוא Veracode DAST, שתומך בסריקתם באמצעות בדיקה של מפרטי API או טרנזקציות מוקלטות כנקודת התחלה. סריקה זו יכולה להתבצע בשלב הבדיקה או בייצור. יש לנתב את התוצאות למערכת מעקב אחר שגיאות וליקויים. תהליך ניטור המתוכנן להמשך יזהה APIs חדשים בשימוש, כך שניתן יהיה לבדוק אותם.
לסיום, הכשרה וחינוך של המפתחים חשובים ביותר להגברת האבטחה. Veracode Security Labs מאפשרת למפתח ללמוד ולתרגל בסביבה מעשית, תוך אינטראקציה עם אפליקציות אמיתיות, שכתובות בשפה שבה הוא מפתח. ויסופאל הדגיש שהדבר מאפשר למפתח להבין באמצעות התבוננות בקוד ובהתנהגות של אפליקציה פועלת כיצד מתקפה אמיתית, כגון XSS, פועלת. בהתאם לכך, הוא יכול לאבחן היכן נדרש תיקון בקוד, ולבצע זאת לפני שנגרם נזק אמיתי.
לתוכנית המלאה של יום העיון ולהרשמה אליו לחצו כאן.