پایان دادن به اختلاف بین توسعه دهندگان و تیم های امنیتی

Bia2 Host
پایان دادن به اختلاف بین توسعه دهندگان و تیم های امنیتی

پایان دادن به اختلاف بین توسعه دهندگان و تیم های امنیتی

مصرف کنندگان میل به تجربه های دیجیتالی یکپارچه دارند برنامه های موبایل. یک کاربرد نداشتن ویژگی‌های پرطرفدار بازار، احساس بی‌حوصلگی، کند دویدن و ایمن نبودن آنها داده ها به سرعت مصرف کنندگان را به سمت برنامه های رقیب سوق می دهد.

بنابراین، مورد تجاری برای ارائه یک برنامه قوی برای تلفن همراه بی‌معنا است. به گفته eMarketer، کاربران اپلیکیشن های موبایل روزانه تقریباً چهار ساعت را آنلاین می گذرانند که ۸۸ درصد از آن زمان را به جای استفاده از اپلیکیشن به استفاده از برنامه اختصاص می دهد. وب سایت ها. با این وجود، پاسخگویی به خواسته‌های مصرف‌کننده، رقابتی ماندن در بازار و همگامی با رقبا، نیاز به یک فرآیند توسعه سریع و ثابت برنامه دارد. اما برای توسعه دهندگان، این مسابقه یک مانع است. و اجرا می کند امنیت اغلب چالش های مهمی را ارائه می دهند.

اولویت های ناسازگار

امنیت بخشی ضروری از کسب و نگهداری است مشتریان. با این حال، اغلب ناسازگاری بین توسعه دهندگان و امنیت سایبری تیم ها

توسعه دهندگان می خواهند در اسرع وقت و هر چند وقت یکبار ارسال کنند، اما الزامات امنیتی و تیم های سایبری را مسدود کننده می بینند. برای تیم های سایبری، اولویت آنها حفظ امنیت مصرف کنندگان و تجارت است. به طور همزمان، مشتریان به طور فزاینده ای در مورد امنیت سایبری آگاه می شوند. نظرسنجی انتظارات مصرف‌کنندگان بریتانیایی Appdome از امنیت تلفن همراه نشان داد که تقریباً از هر ده (۵۹%) از مصرف‌کنندگان بریتانیایی، ۶ نفر امنیت برنامه‌های تلفن همراه را با ویژگی‌های جدید در برنامه‌های اندروید و iOS برابری می‌کنند و یک چهارم از پاسخ‌دهندگان می‌گویند امنیت برنامه‌های تلفن همراه مهم‌تر از امکانات. مصرف کنندگان دیگر فقط خواهان تجربه یکپارچه با استفاده از یک برنامه موبایل مدرن نیستند، بلکه خواهان تجربه ای امن نیز هستند.

این امر بر نیاز قانع‌کننده کسب‌وکارها برای رفع اولویت‌ها و فرآیندهای متضاد بین تیم‌های توسعه‌دهنده و سایبری تأکید می‌کند.

DevSecOps 2.0 – محافظت خودکار از برنامه تلفن همراه و تشخیص تهدید

توسعه، امنیت و عملیات (DevSecOps)، فرآیندی که ابتکارات امنیتی را در هر مرحله از توسعه نرم افزار یکپارچه می کند، پاسخ این سوال است. روند فعلی انتشار برنامه تلفن همراه مملو از درگیری بین تیم های توسعه دهنده تلفن همراه و تیم های سایبری است. تیم‌های توسعه‌دهنده زمان و منابعی را برای خودکار کردن فرآیند انتشار تا حد امکان سرمایه‌گذاری کرده‌اند. در واقع آنها بر افزایش چابکی و سرعت انتشار خود تا حد امکان متمرکز هستند. از سوی دیگر تیم‌های امنیت سایبری به‌عنوان مسدودکننده‌های این فرآیند چابک دیده می‌شوند. به خصوص زمانی که یافته های امنیتی در جلسه انتشار گزارش می شود. این باعث می‌شود که تیم‌های توسعه‌دهنده به سمت مدیریت تشدید شوند و در مورد استثناهای ریسک درخواست امضا کنند. تشخیص این امر ضروری است که چنین استثناهایی احتمال حملات یا نقض احتمالی را افزایش می دهند زیرا برنامه در تولید محافظت نشده است. حتی با تعهدی که برای حل مشکل امنیتی در نسخه بعدی انجام شده است، این امر پنجره ای را برای هکرها باز می کند. اما اغلب سازمان ها مجبور به انتشار می شوند برنامه ها با ضعف های امنیتی شناخته شده، زیرا تاخیر می تواند منجر به از دست دادن قابل توجه فرصت درآمد شود یا به سادگی برنامه را غیررقابتی کند. اثرات یک حمله می تواند بسیار پرهزینه و مخرب برای تجارت یا برند باشد. از آنجایی که مصرف کنندگان باهوش هم به دنبال سرعت و هم امنیت هستند، بدیهی است که یک قطعنامه برای موفقیت مداوم صنعت برنامه های تلفن همراه ضروری است.

هدف فرآیند سنتی DevSecOps شامل تست‌های امنیتی خودکار در خط لوله توسعه و استقرار با هدف ساده‌سازی فرآیند بررسی امنیتی با استفاده از خط لوله است. مشکل این رویکرد این است که تیم‌های توسعه اغلب منابع، مهارت‌ها یا دانش لازم برای حل و فصل یافته‌های خط لوله را ندارند و ممکن است اولویت پایینی را به امنیت اختصاص دهند، زیرا عملکرد، ظاهر و احساس، سهولت استفاده از محرک‌های اصلی آنها است. علاوه بر موارد فوق، اسکن‌های خودکار امنیتی و آسیب‌پذیری مطمئناً به مدل DevSecOps افزوده شده است، با این حال مهم است که به خاطر داشته باشید که اسکن‌های امنیتی تنها بخشی از مشکل را برطرف می‌کنند – زیرا نمی‌توان از آنها برای «رفع» یا «رفع» استفاده کرد. مسئله. اینجاست که اتوماسیون دفاع سایبری بدون کد مورد نیاز است. اتوماسیون دفاع سایبری می‌تواند برای ایجاد حفاظت در برنامه‌های اندروید و iOS برای جلوگیری از سوء استفاده/حمله یا رفع تهدیدات امنیتی یا ضعف‌های موجود در برنامه که با اسکن امنیتی یا آزمایش قلم شناسایی می‌شوند، استفاده شود.

با استفاده از رویکرد DevSecOps 2.0، سازندگان اپلیکیشن می‌توانند از اتوماسیون دفاعی اپلیکیشن موبایل در خط لوله CI/CD استفاده کنند تا بار و مسئولیت ارائه حفاظت‌های مورد نیاز را از تیم توسعه به تیم سایبری منتقل کنند. به این ترتیب تیم امنیت سایبری می‌تواند از بهترین شیوه‌های توسعه‌دهنده برای ساخت، آزمایش، انتشار و نظارت بر مدل حفاظتی در برنامه‌های تلفن همراه به تنهایی، به عنوان بخشی مساوی و مستقل از فرآیند DevSecOps استفاده کند.

این به سازندگان برنامه اجازه می دهد تا روند انتشار سریع و چابکی را برای برنامه های تلفن همراه خود داشته باشند، در حالی که اطمینان حاصل شود که برنامه های آنها کاملاً محافظت می شود و به راحتی می توان آنها را برای محافظت در برابر تهدیدات و حملات جدید ارتقا داد. همه بدون اینکه تیم توسعه دهنده کار اضافی انجام دهد.

DevSecOps سنتی راه حل نیست

وقتی صحبت از برنامه های تلفن همراه می شود، رویکرد فعلی DevSecOps کار نمی کند. الزامات فرآیند DevSecOps سنتی شامل تست‌های امنیتی خودکار در خط لوله توسعه و استقرار است. ایده این است که این فرآیند بررسی امنیتی را ساده می کند. اگرچه این امر کشف آسیب‌پذیری‌های قابل بهره‌برداری را تسریع می‌کند، اما به اجرای حفاظت‌های لازم در اپلیکیشن موبایل کمکی نمی‌کند که منجر به درگیری تیم‌های سایبری و توسعه‌دهنده درباره حفاظت‌ها و استثناهای خطر می‌شود.

مدل سنتی DevSecOps توانایی تیم سایبری برای اعمال حفاظت را محدود می کند. اساساً، تنها کاری که تیم می‌تواند انجام دهد این است که ویژگی‌های امنیتی را که باید اضافه شود، بررسی، گزارش و به تیم توسعه‌دهنده توصیه می‌کند. بنابراین، تیم سایبری برای انجام هر گونه به روز رسانی، تغییر یا ارتقا کاملاً به توسعه دهندگان متکی است.

برای پیچیده تر کردن مسائل، توسعه دهندگان ممکن است کاملاً با سیاست های امنیتی شرکت یا تهدیدات سایبری خاص آشنا نباشند. توسعه دهندگان ممکن است حفاظت های امنیتی ارائه شده توسط فروشگاه های برنامه یا سازندگان دستگاه را بیش از حد ارزیابی کنند.

خوشبختانه، فناوری نوآورانه می تواند این معضل را حل کند. استفاده از ابزار اتوماسیون دفاع سایبری، تیم‌های توسعه‌دهنده را قادر می‌سازد تا تمام حفاظت‌های مورد نیاز تیم امنیتی را اجرا کنند. علاوه بر این، به آن‌ها اجازه می‌دهد تا نقاط ضعف شناسایی شده از طریق اسکن‌های امنیتی یا تست نفوذ را برطرف کنند – بدون هیچ تلاش دستی یا تأثیری بر زمان‌بندی انتشار یا گردش کار.

اتوماسیون دفاعی برای نجات

اتوماسیون دفاعی اپلیکیشن موبایلی، تیم‌های امنیت سایبری را قادر می‌سازد تا کنترل بیشتری بر مدل امنیتی برنامه‌های تلفن همراه داشته باشند، بدون اینکه نیازی به تکمیل کار قابل توجه توسط منابعی که کنترل نمی‌کنند (یعنی توسعه‌دهندگان موبایل) باشد. اتوماسیون دفاعی برنامه تلفن همراه به تیم‌های توسعه‌دهنده و امنیت سایبری اجازه می‌دهد تا به طور مشترک با استفاده از خط لوله یکپارچه‌سازی و تحویل پیوسته (CI/CD) همکاری کنند و از اتوماسیون برای برداشتن کامل بار پیاده‌سازی از روی صفحه تیم توسعه‌دهندگان استفاده کنند. با استفاده از اتوماسیون دفاع سایبری، تیم‌های امنیت سایبری می‌توانند مدل امنیتی برنامه تلفن همراه را به تنهایی بسازند، آزمایش کنند، منتشر کنند و بر آن نظارت کنند یا به تیم توسعه‌دهنده اجازه دهند تا مدل امنیتی را که تجویز می‌کنند پیاده‌سازی کنند – همه از درون گردش‌های کاری خودکاری که توسعه‌دهندگان از قبل برای ایجاد استفاده می‌کنند. و امروز برنامه های تلفن همراه را ارائه دهید. این رویکرد تضمین می کند که ارزیابی امنیتی برنامه به عنوان یک جزء جدایی ناپذیر خارج از چرخه عمر توسعه نرم افزار مرسوم عمل می کند.

با پیاده‌سازی اتوماسیون دفاع سایبری به این شیوه، تیم سایبری کنترل مستقیم را در خط لوله CI/CD به دست می‌گیرد و تیم توسعه را از هرگونه بار کاری اضافی یا نیاز به پیمایش پیچیدگی‌های الزامات امنیت سایبری رها می‌کند. در نتیجه، خط لوله بدون مشکل اجرا می‌شود و فرآیند توسعه اپلیکیشن موبایل را با امنیت داخلی، ضد کلاهبرداری و سایر اقدامات حفاظتی خودکار می‌کند. این رویکرد به تیم های توسعه و امنیت سایبری اجازه می دهد تا به طور موثر خواسته های مصرف کننده را برآورده کنند و مسئولیت های مربوطه خود را انجام دهند. هیچ کس نیازی به سازش های دردناکی ندارد که راه حل های امنیتی سنتی برنامه های تلفن همراه را آزار می دهد.

برای یک تیم توسعه‌دهنده یا سایبری، این موقعیت بسیار خوبی است. یافته‌های امنیتی انباشته را پاک می‌کند و انتشار حفاظت‌های جدید را که از هر آزمایش یا بررسی جدید به دست می‌آید سرعت می‌بخشد، بنابراین تنش‌های جدید و قدیمی بین سازمان‌ها را از بین می‌برد.

تغییر دهنده ی بازی

یکی از اختلافات طبیعی زندگی بین افرادی است که چیزها را می سازند و افرادی که از چیزها محافظت می کنند، اما اتوماسیون دفاع سایبری برای برنامه های تلفن همراه یک تغییر انقلابی بازی است. برای مدت طولانی، شرکت‌ها از یک رویکرد سنتی DevSecOps استفاده می‌کردند که به اصطکاک قابل توجهی کمک می‌کرد.

برای همسو با انتظارات مصرف‌کننده و بازار پویا، سازمان‌های مدرن با ارائه اپلیکیشن‌های موبایل باید این منبع اصلی تنش را از بین ببرند. با این حال، قبل از دستیابی به این، عملیات داخلی بدون درز ضروری است. با اتخاذ یک رویکرد خودکار نوآورانه برای پیاده سازی ویژگی های امنیتی، همکاری جایگزین اختلافات می شود و تیم توسعه دهنده را قادر می سازد تا بدون نیاز به غلبه بر موانع، روی نقاط قوت اصلی خود تمرکز کند.

ما بهترین نرم افزار رمزگذاری را معرفی کرده ایم.

این مقاله به عنوان بخشی از کانال Expert Insights TechRadarPro تهیه شده است که در آن بهترین و باهوش ترین ذهن ها در صنعت فناوری امروز را معرفی می کنیم. نظرات بیان شده در اینجا نظرات نویسنده است و لزوماً نظرات TechRadarPro یا Future plc نیست. اگر علاقه مند به مشارکت هستید، در اینجا اطلاعات بیشتری کسب کنید: https://www.techradar.com/news/submit-your-story-to-techradar-pro


منبع: https://www.techradar.com/pro/ending-the-dispute-between-developers-and-security-teams

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *