Команды разработки программного обеспечения подвергаются воздействию растущего давления, чтобы сократить свои жизненные циклы разработки и превышать продукты быстрее, чем когда -либо прежде. Чем ранее началось готовое заявление, тем больше вероятность того, что спрос на клиентов удовлетворяет, и марш претендует на конкуренцию, чтобы претендовать на долю рынка. Это также облегчает исправление клиентов и получение новых функций, чтобы удовлетворить клиентов.
Хотя время — это деньги, больше скорости может быстро принести большую уязвимость. Хотя определенный риск приемлем, ни один разработчик не может позволить себе иметь большое нарушение безопасности, которое меняет всю свою тяжелую работу.
Чтобы ухудшить ситуацию, группы киберпреступности становятся все более достаточными для этой скорости и используют критические ресурсы с открытым исходным кодом для проникновения в цепочку доставки программного обеспечения.
Разработчики нуждаются в знаниях, ресурсах и поддержке, чтобы обеспечить безопасность своего кода, и минимальное влияние на планы разработки.
В тесном сотрудничестве со своими коллегами для обеспечения безопасности приложений преданное обучение является одним из наиболее важных способов позволить разработчикам достичь этого баланса.
Старший менеджер по маркетингу продуктов в Checkmarx.
Содержание
Растущие риски в развитии открытого исходного кода
Одной из причин более сильного внимания к навыкам AppSec является растущая обеспокоенность кодекса неопределенности со стороны сторонних поставщиков.
Открытый исходный код стал важным ресурсом для команд разработчиков, которые работают над строгими сроками. Доступ к готовым строительным блокам для общих функций применения экономит огромное количество времени и ресурсов, заново изобретая команды, прежде чем велосипед станет новым для каждого нового проекта и резкого сокращения SDLC.
В последнем октябном отчете Github показано, что только в 2024 году в 2024 году было вкладывалось более миллиарда взносов в открытые проекты, и ранее подсчитано, что около 97% всех приложений содержали как минимум несколько открытых исходных кодов.
Тем не менее, активы с открытым исходным кодом также могут ввести ненужный риск применения. Всегда существует вероятность того, что у кодекса сторонних поставщиков может быть слабые стороны, которые были пропущены его создателем, и игроки угроз эскалируют риск, внедряя их в среду с открытым исходным кодом целевым образом.
В октябре наши исследователи обнаружили, что киберпреступники, нацеленные на разработчиков Python в отрасли блокчейна, загружая так много, по -видимому, полезных инструментов для таких задач, как управление крипто -кошельками и восстановление. Тем не менее, в коде в коде все будут хорошо -жатые вредоносные программы.
Этот инцидент является лишь одним из растущих случаев, когда киберпреступники использовали неотъемлемые разработчики доверия и опоры на открытом коде -исходном коде. В то время как большинство серьезных платформ стремятся оценить безопасность загруженных активов, простой объем вкладов и потенциал для завуалированного кода означают, что риск никогда не может быть исключен.
Разработчики эффекта с приготовленным обучением
Ввиду того факта, что их наиболее ценные ресурсы киберпреступников эксплуатируются, для разработчиков важнее, чем когда -либо, иметь отношение к безопасности. Тем не менее, это проблема в течение долгого времени. Одним из величайших препятствий является то, что разработчики в первую очередь являются создателями и программистами, и что многие разработчики не имеют возможности получить реальный опыт в AppSec.
Первым шагом является включение команд DEV со структурированным обучением и разумными ресурсами, если они должны эффективно захватить AppSec.
Крайне важно, чтобы все тренировочные усилия были адаптированы к вашему конкретному опыту и потребностям. Общие программы часто разбивают разработчиков неактуальной информацией, что затрудняет применение уроков на практике. Слишком портное, специальное обучение, специфичное обучение, гораздо более эффективно и позволяет разработчикам создавать безопасный код, не нарушая ваш рабочий процесс.
Одним из наиболее эффективных способов проведения этого является то, что он просто в срок (JIT-Time), который затем предлагает реализуемые инструкции, когда разработчики сталкиваются с восприимчивой встречей с процессом реконструкции. Этот подход соответствует безопасности с быстрым темпом развития и гарантирует, что недостатки решаются эффективно. Организации должны сконцентрироваться на том, насколько быстро и эффективно быть быстрыми и эффективными при сканировании соображений безопасности вместе со всеми их структурами и методами развития.
Геймифицированные платформы могут быть особенно эффективными здесь и преобразовать безопасное кодирование в привлекательное упражнение для построения навыков. Эти инструменты способствуют ощущению владельцев и помогают разработчикам решать слабости и понимать их более широкие последствия.
Обучение и разработка должны дать обратную связь в реальном времени с минимальным влиянием на рабочий процесс разработки.
Увеличьте сотрудничество с наставниками безопасности
В то время как инструменты и обучение необходимы, программы наставничества могут продолжать привести к установлению знаний и исполнения к закрытию пробелов и исполнения. Это включает в себя внедрение инженеров по безопасности в команды разработчиков, чтобы предложить инструкции и практическое обучение. Этот подход помогает содействовать сотрудничеству и определить общую ответственность за безопасное кодирование, которое занимается долговременно и эффективно.
Наставники не гарантируют, что безопасность становится неотъемлемой частью процесса разработки, но также может удалить структуру «США и вы», которая является общей между безопасностью и разработкой.
Хорошо известные программы наставничества привержены итеративному процессу, и этот код защищены при публикации. Это особенно полезно для небольших организаций с более ограниченными ресурсами.
Первые шаги с уверенным наставничеством
Программа наставничества может быть довольно легкой для организаций, которые еще не имеют наставника безопасности для своей команды по разработке. Первый шаг — спросить добровольцев, которые хотят принять участие. Наставники должны проявлять реальный интерес к созданию безопасных методов кодирования, а не иметь ощущение, чтобы выполнять больше работы.
Добровольцы также выигрывают от приобретения новых навыков и диверсификации своей роли в качестве разработчика. Ресурсы, такие как сбашение кода, могут предложить структурированный подход для развития навыков APPSEC, а также других информационных навыков, таких как вебинары и мероприятия.
Процветать в ландшафте, выполненном с угрозами
С ростом внутреннего давления для более быстрых и более эффективных циклов развития команды разработчиков часто могут чувствовать себя пойманными в ловушке между камнем и тяжелым местом.
Чтобы дать им возможность процветать в современной среде быстрости, компании должны поддерживать разработчиков в интеграции безопасности в каждый этап разработки. Разработчики соответствуют специальному обучению и совместному наставничеству разработчиков, чтобы эффективно бороться с слабыми местами, не замедляя инновации.
Мы предлагаем список лучшего программного обеспечения для разработки мобильных приложенийПолем
Эта статья была произведена в рамках канала Expert Insights Techradarpro, в котором мы сегодня предлагаем лучшие и умные руководители в технологической индустрии. Взгляды, выраженные здесь, относятся к авторскому и не обязательно мнениям Techradarpro или Future PLC. Если вы заинтересованы в том, чтобы определить больше здесь:
