Koodarit ovat käytännössä ne ainoat henkilöt organisaatiossa, jotka voivat korjata sovelluksissaan piileskelevät haavoittuvuudet. Tästä huolimatta heillä ei kuitenkaan useimmiten ole tarvittavaa koulutusta haavoittuvuuksien tunnistamiseksi ja niiden korjaamiseksi. Tai siihen, että voitaisiin jopa julkaista suoraan tuotantoon edes yleisimmistä tietoturva-aukoista vapaita sovelluksia.
Koodareilta vaaditaan paljon
Miksi koodareiden tietoturvakoulutus jää jälkeen sille asetetuista tavoitteista? Yleisimmät syyt ovat tässä:
- Koulutuksen sisältö on liiiiiian pitkä
- Sisältö ei ole merkityksellistä suhteessa organisaation tech stackiin
- Lähestymistapa oppimiseen on vääränlainen, eikä sitouta tai innosta oppijaa riittävästi
Tietoturvastandardit ja viitekehykset tykkää
Standardit, sertifioinnit ja regulaatio asettavat tietyt vaatimuksensa jatkuvalle tietoturvakoulutukselle.
ISO27001
Maailman johtava ISO 27001 -tietoturvastandardi edellyttää, että ohjelmistojen ja järjestelmien kehittämistä koskevat käytännöt on laadittava ja sovellettava niitä kaikkeen organisaatiossa tapahtuvaan ohjelmistokehitykseen. Käytäntöjen tulee kattaa tietoturvallisen sovelluskehityksen avainasiat kaikille organisaation käyttämille ohjelmointikielille, sovellusturvallisuuteen liittyvät perusasiat sekä luoda ja vahvistaa kehittäjien kyvykkyyttä välttää, löytää ja korjata sovelluksissa olevia haavoittuvuuksia.
OWASP SAMM
OWASP SAMM on itsearviointiin perustuva kypsyysmalli, joka pyrkii lisäämään tietoisuutta ja kouluttamaan organisaatioita miten suunnitella, kehittää ja ottaa käyttöön turvallisia ohjelmistoja. SAMM:n Education & Guidance -käytännöt ottavat kantaa tietoturvakoulutukseen kolmella kypsyystasolla:
Tasolla 1 tietoturvakoulutusta tulee antaa kaikille henkilöryhmille ja erityisesti niille, jotka ovat jollain tavalla tekemisissä turvallisen ohjelmistokehityksen prosessien kanssa. Tavoitteena on lisätä tietoisuutta sovelluksiin kohdistuvista tietoturvauhkista ja riskeistä, tuntea tietoturvan parhaat käytännöt ja turvallisen ohjelmistojen suunnittelun periaatteet. OWASP Top 10 -haavoittuvuudet tulisi kattaa yleisellä tasolla.
Tasolla 2 on tarjotaan roolien mukaan räätälöityä koulutusta. Koulutuksen tulee liittyä yrityksessä käytettyihin tekniikoihin, aloittaen kehitystiimin ytimestä. Organisaatio mukauttaa tuotepäälliköiden, ohjelmistokehittäjien, testaajien ja turvallisuusauditoijien koulutuksen sisällön kunkin ryhmän teknisten tarpeiden perusteella.
Tasolla 3 tavoitteena on kehittää sisäisiä koulutusohjelmia.
Labsilla mennään suoraan itse asiaan
Veracode Security Labs auttaa täyttämään tietoturvastandardien vaatimukset ja tarjoamaan samalla koko kehitystiimille mielekkään tavan oppia lisää. Selainpohjaisilla harjoituksilla päästään 5-10 minuutissa kartuttamaan taitoja, hyödyntäen ja korjaten oikeaa koodia.
”Interaktiiviset” koulutusratkaisut simuloivat tyypillisesti verkkosovellusta oikean koodin käytön sijasta. Tämän lähestymistavan haittana on, että vaikka kehittäjä passiivisesti tarkastelisi koodinpätkiä, hän ei koskaan välttämättä kosketa edes näppäimistöä. Ilman käytännön harjoittelua tilanne on usein se, että todellista oppimista ei ole tapahtunut, koska osallistujat klikkailevat eri monivalintavastauksia, kunnes oppitunti on ohi.
Shift left!
Security Labs käyttää shift left -lähestymistapaa sovellusturvallisuuteen, valmistaen ja vahvistaen kehittäjien kykyjä vastata moderneihin uhkiin hyödyntämällä ja korjaamalla oikeaa koodia sekä soveltamalla DevSecOps-periaatteita suojatun koodin oikea-aikaisessa tuottamisessa.
Käytännön harjoituksilla kehittäjät oppivat taitoja ja strategioita, jotka ovat suoraan sovellettavissa organisaation tuottamaan koodiin. Yksityiskohtainen edistymisraportointi ja tulostaulu kannustavat kehittäjiä hiomaan jatkuvasti omia koodaustaitojaan.
Luo turvallisempaa softaa
Lisätietoja
- Katso esittelyvideo tästä: https://share.vidyard.com/watch/eiL5tYWaUQVB55x3debySD?
- Lue lisää Veracoden omilta sivuilta: https://www.veracode.com/products/security-labs
- Katso webinaaritallenne Mint Securityn ja Veracoden yhteisestä webniaarista Hands-On Training to Shift AppSec Knowledge Left: https://www.brighttalk.com/webcast/12807/438601
Jos kaipaat hands-on livedemoa, ota yhteyttä meihin. Tarvittaessa lainaamme testitunnukset – tai luodaan oma testiympäristö.
Veracode
SAST – Koodin staattinen tarkistus SCA – Kirjastoanalyysi ja inventaario SDLC sovelluskehitysintegraatio Yrityksen koko sovellusportfolion tietoturvariskien hallinta samassa palvelussa Veracoden palvelun avulla voidaan tutkia ja
Kirjastojenhallinta – SCA – ja moninaiset viitekehykset ja vaatimukset
Yhä useampi standardi, viitekehys ja asiakasvaatimus edellyttää – peräti huutaa – kirjastonhallinnan perään. Huutaa siksi että modernit sovelluskehitysmenetelmät ovat täysin riippuvaisia ulkoisista kirjastoista eli riippuvuuksista.
Veracode Container Securityn hyödyntäminen pilvisovellusten ohjelmistokehityksen turvaamisessa
Pilvipohjainen ohjelmistokehitys on kantava voima, koska se antaa mahdollisuuden rakentaa ja ottaa käyttöön sovelluksia vauhdilla ja skaalautuvasti. Mikropalveluiden, pilvi-infrastruktuurin ja API-rajapintojen ohella kontit (containers) ovat tärkeä osa tätä kehitysprosessia. Tutkitaanpa hieman konttien turvallisuusvaikutuksia pilvipohjaisten sovellusten kehittämisessä ja niiden aiheuttamien tietoturvahaasteiden hallintaa.
Veracode State of Software Security 12
Viime vuoden tapaan tarkastelimme aktiivisten sovellusten koko historiaa, emme vain sovellukseen liittyvää aktiviteettia yhden vuoden aikana. Näin saamme näkymän sovellusten koko elinkaareen, mikä taas johtaa tarkempiin mittareihin ja havaintoihin.
Veracode SoSS 11: Open Source Edition
Veracode julkisti äskettäin uuden version avoimen lähdekoodin kirjastojen skannausten tuloksista. Raportti antaa näkymän sovelluskirjastojen tietoturvan nykytilasta ja hieman viitteitä tulevaisuudesta. Raporttiin on koottu tulokset n. 13 miljoonasta skanauksesta yli 86 000 repositoryyn n. vuoden mittaisen ajanjakson aikana.
