DevOps morajo postati DevSecOps

Objavljeno: 27.10.2020 | Avtor: Vinko Seliškar | Kategorija: Monitor Pro | Revija: November 2020

Tudi razvijalci programske opreme morajo, podobno kot drugi IT-strokovnjaki, razviti več z informacijsko varnostjo povezanih navad in znanj.

Če naj postanejo IT-okolja varnejša, morajo več znanj in predvsem dobrih praks ter navad pridobiti tudi razvijalci programske opreme. Oddelki IT bi si zato morali pospešeno prizadevati za vzpostavitev takšnih navad, da bi omogočale stalno spremljanje in odpravo morebitnih napak, ki vodijo do nastanka varnostnih pomanjkljivosti in ranljivosti, na katere merijo napadalci. Programski arhitekti in programerji so namreč idealen kader za boljše prepoznavanje varnostnih ranljivosti, ki jih v programski kodi (navadno) lahko vidijo le razvijalci.

Varnost mora postati navada

Navade so že od malih nog programirane v posameznika, prav tako pa lahko nove pridobivamo vse življenje. Za razvijalce programske opreme je še posebej pomembno, da gojijo več navad in dobrih praks s področja informacijske varnosti, saj tako olajšajo delo drugim varnostnim strokovnjakom. Matematika je otročje preprosta: če bi bilo napak v programski kodi manj, bi bilo manj tudi ranljivosti, ki jih napadalci lahko izkoristijo.

Ljudje se včasih obnašamo podobno kot računalniki. Tudi kar zadeva navade. Te se selijo iz programske opreme v strojno – torej iz glave v ostale dele telesa. In to je dobro. Sposobnost spreminjanja navad je temeljni del človeka, na katerega še kako računa varnostna stroka kot na dejavnik, ki bo poleg boljših orodij in procesov pomagal dvigniti raven kibernetske in informacijske varnosti podjetij in posameznikov.

Informatiki postajajo hibridi

Tudi vloga informatikov se v novem tisočletju spreminja. Ne glede na to, ali so pretežno vzdrževalci sistemov ali razvijalci, od njih se pričakuje, da postanejo hibridi, večživke. Da razširijo svoja znanja in spretnosti na več domen, čeprav so v preteklosti zagovarjali specializacijo in usmerjanje energije in znanja v eno samo področje. In prav s tem, ko razvijalci programske opreme postanejo hibridi z znanji s področja informacijske varnosti, se oblikuje nova kategorija zaposlenih – DevOps postanejo DevSecOps, njihova vloga v podjetju pa pomembnejša kot kadarkoli prej.

Z novo vlogo prideta tudi večja odgovornost in plača. Razvijalci programske opreme namreč prevzemajo več varnostnih nalog in odgovornosti. Če smo v preteklosti od programerjev kot izgovor večkrat slišali, da nimajo časa za ukvarjanje z informacijsko varnostjo in naj se z njo ukvarjajo drugi strokovnjaki, bo v prihodnje drugače. Tudi podjetja ne bodo več pristala na to, da ranljivosti v kodi odkriva in odpravlja nekdo tretji, saj ta navadno veliko stane. Oziroma stane veliko več, kot bi stalo dodatno izobraževanje programerjev, ki bi tako delali manj napak na področju varnosti.

Kodo naj popravlja tisti, ki jo (najbolje) pozna

Pritiski na razvijalce programske opreme ob odkritih ranljivostih so vse večji. Programerji naj bodo tisti, ki skrbijo za popravke programske kode, ki so jo napisali, saj bi v nasprotnem primeru, ko po njihovi kodi »šari« nekdo drug, lahko kaj hitro prišlo do vrste drugih težav – okrnjene funkcionalnosti, napak ali celo novih varnostnih pomanjkljivosti.

Prav tako je veliko bolje, da se številna varnostna vprašanja razrešijo že med tem, ko programska koda še nastaja in ne šele pozneje, ko ranljivosti in pomanjkljivosti odkrivajo končni uporabniki, podjetje/ponudnik pa se mora ukvarjati s posodobitvami in z nadgradnjami, kar zahteva veliko časa, energije in drugih (predvsem finančnih) virov. Poleg tega je takšen scenarij zelo frustrirajoč tudi za razvijalce same.

Pristop podjetij, da programske rešitve čim prej ponudijo na trgu in uporabnikom, se v praksi ne obrestuje, saj pogosto vodi do številnih težav. Ponudniki ugotavljajo, da imajo s popravki ogromno dela in stroškov, pogosto več, kot je bilo koristi od tega, da so bili med prvimi na trgu. Sploh upoštevaje dejstvo, da je omajan ugled težko popraviti. Nihče pa si ne želi oznake, da je nesposoben programer ali programska hiša, ki pripravlja luknjasto ali celo nevarno programsko opremo.

Prej kot napako odkrijete, prej jo lahko odpravite

Cilj podjetij, ki razvijajo programsko opremo, je, da napake in varnostne pomanjkljivosti odkrijejo in odpravijo v fazi razvoja. Predvsem drugi del številnim podjetjem manjka, saj redkeje med razvojem preverjajo programsko kodo za varnostnimi luknjami. A bodo morala to dodati na svoj seznam opravil in navad.

Pri tem jim bo v pomoč tudi avtomatizacija, ki je lahko učinkovit način za opravljanje dodatnih nalog. IT je bil odgovoren za uvedbo avtomatizacije na številnih področjih. Ali je torej naposled napočil čas, da z njo uredi še lastne vrste? Vsekakor. Orodja za preverjanje programske kode obstajajo, a jih je treba znati tudi uporabljati.

Za IT-strokovnjake je že sicer značilno vseživljenjsko učenje. Slikovita primerjava pove, da informatik po količini novo usvojenega znanja praktično »diplomira« vsakih deset let, če pa želi obenem še napredovati v panogi, mora v tem času usvojiti še dodatno znanje, »vredno magisterija«. Imejte to v mislih, ko boste najemali programerje – naj se dokažejo tudi na področju informacijske varnosti.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!
Prijava

Komentirajo lahko le prijavljeni uporabniki