"DevOps ללא אבטחת מידע הוא כמו נסיעה במכונית ללא בלמים"
נס-פרו (NessPRO), קבוצת מוצרי התוכנה של נס, ערכה יום עיון ייחודי למנהלי פיתוח בנושא פיתוח קוד מאובטח וגישור על הפער שבין תהליכי DevOps מהירים ואבטחת מידע. יום העיון נערך על ידי חטיבת ברודקום-תוכנה של נס-פרו, בניהולו של זוהר פרל.
וראקוד (Veracode) הינה מובילה גלובלית בתחום של פתרונות לבדיקות אבטחת אפליקציות (AST) ומובילה כבר תשע שנים ברציפות בדו"חות של חברות מחקר וייעוץ טכנולוגי מובילות. מוצרי וראקוד משווקים בישראל בלעדית על ידי נס-פרו.
דימיטריס קאציטקיס, מנהל המכירות האזורי של וראקוד באירופה, המזה"ת ואפריקה, ציין, כי וראקוד הוקמה ב-2006, ומאז ועד היום נסרקו באמצעות מוצריה 58 טריליון שורות קוד על ידי לקוחות ברחבי העולם, ותוקנו יותר מ-73 מיליון ליקויי אבטחה. קאציטקיס הוסיף, כי וראקוד מחזיקה ב-31 פטנטים, ושווי החברה מוערך ב-2.5 מיליארד דולר. הוא ציין, כי לקוחותיה של וראקוד הינם בענפים שונים, בהם פיננסים, תוכנה, קמעונאות, חקלאות וייצור.
"וראקוד מתמקדת לא רק באיתור ליקויי אבטחה, אלא גם בתיקונם", אמר קאציטקיס. "החברה פועלת לצמצום הופעתם של ליקויים חדשים, מספקת הדרכה מעשית בשטח למפתחים ומכסה את כל סוגי האפליקציות".
ג'וליאן טוצק-הלהובר, מנהל ארכיטקטורת הפתרונות ב-וראקוד בדרום EMEA ובאסיה פסיפיק (APAC), אמר, כי "DevOps ללא אבטחת מידע הוא כמו נסיעה במכונית ללא בלמים". לדבריו, להקדים את האיום היא משימה לא פשוטה. "אפליקציות Web ו-APIs הם יעדים עיקריים של התוקפים", אמר טוצק-הלהובר. "אפליקציות Web נגישות לציבור ומכילות נתונים רגישים. APIs הופכים לווקטור התקיפה הגדל במהירות הגבוהה ביותר". הוא הוסיף, כי 38% מתקיפות הסייבר ב-2020 היו כנגד אפליקציות Web, ועד 2023 ל-90% מאפליקציות ה-Web יהיו יותר משטחי תקיפה בצורה של APIs וממשקי משתמש חשופים. הוא ציין, כי 60% מאפליקציות ה-Web חושפות נתונים רגישים כתוצאה ממשתנים סביבתיים, וכי ל-80% מאפליקציות ה-Web יש חולשה קריטית (CWE) שרק סריקה דינמית יכולה לאתר.
טוצק-הלהובר דיבר על השימוש שיש לעשות במוצרי וראקוד בשלבי הפיתוח השונים. בין השאר, ציין, כי בשלב ההתחלתי רצוי למנף את Security Labs כדי למנוע יצירת ליקויי אבטחה, ובמקביל להשתמש ב-IDE Scan לצורך פידבק בזמן אמת בעת יצירת הקוד. כמו כן, ניתן לבדוק את הקוד באמצעות Pipeline Scan ו-SCA Agent Scan. טוצק-הלהובר סקר את שאר שלבי הפיתוח וציין את הכלים שבהם יש להשתמש, כאשר בשלב הייצור יש להפעיל Policy Scan כדי לשתף את סטטוס ה-Policy ברחבי הארגון. לאחר הפריסה, ניתן להפעיל Dynamic Analysis ו-Manual Penetration Testing לצורך כיסוי מלא.
יצחק כהן, Account Manager ומנהל היחידה העסקית בתחום ה-DevSecOps בחטיבת ברודקום-תוכנה בנס-פרו, ציין, כי נס-פרו ו-וראקוד מעמידות לרשות המפתחים שורה של מומחים בעלי ניסיון רב בתחומי ניהול תוכנית האבטחה (SPM), ייעוץ לאבטחת האפליקציות (ASC), תמיכה טכנית וכן ארכיטקט למחזור החיים של פיתוח התוכנה (SDLC). "המטרה היא לעזור למפתחים לכתוב טוב יותר ולא לעשות טעויות", אמר כהן. "היעד הוא למנוע טעויות כדי שאחר כך לא נצטרך לאתר אותן". לצידו של כהן מנהל את הסיוע למפתחים דורון ירושלמי, Partner Tech Architect בחטיבת ברודקום-תוכנה בנס-פרו.
כהן ציין כי בעת ההיערכות לסיוע ללקוח בוחנים מומחי נס-פרו ו-וראקוד שלושה היבטים. ההיבט הראשון הוא העסקי – מה הלקוח רוצה להשיג מבחינה עסקית. לאחר מכן נבחן ההיבט של התוכנה – באילו כלים יש להשתמש. ההיבט השלישי הוא התרבות הארגונית – מהי הדרך שבה הארגון עובד, שהיא שונה מארגון לארגון. כך, לדוגמה, ארגון פיננסי עובד אחרת מיצרן תוכנה. "אנו תופרים לכל ארגון את החבילה הדרושה לו", אמר כהן.
"הפרויקטים הינם מורכבים ובעלי שלבים רבים, ויש להדגיש גם את חשיבותם של כלי המשילות, המסייעים לנו להגיע מהמצב העכשווי למצב שבו אנו רוצים להיות", אמר כהן. "לדוגמה – כמה סריקות עשינו, כמה סריקות עברו בהצלחה, כמה סריקות נכשלו, וכדומה – והכל על ציר הזמן. השאיפה שלנו היא להגיע לתפוקה מקסימלית עם סיכון מינימלי".