Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.

Tehokkaat ohjelmistokehitystiimit käyttävät karkeasti puolet vähemmän aikaa tietoturvallisuusongelmien korjaamiseen kuin heikommin menestyvät lajitoverinsa. Tietoturvatavoitteita paremmin päivittäiseen kehitystyöhön liittäen on mahdollista parantaa koodin laatua ja luoda turvallisempia järjestelmiä. Tätä periaatetta kutsutaan nimellä shift left on security, koska siinä huolenpitoa ja huomiota kaipaavat asiat — potentiaaliset tietoturvallisuusongelmat mukaan lukien — käsitellään jo aiemmin ohjelmistokehityksen elinkaaressa.

Shift left on security

Shift left on security -termillä tarkoitetaan siis tietoturvan vankkaa integrointia ohjelmistokehitysprosessin suunnittelu- ja testausvaiheisiin. Tähän kuuluvat mm.

  • sovellusten tietoturvatarkastukset
  • tietoturvasta vastaavien henkilöiden ja yksiköiden mukaan ottaminen jo sovellusten suunnittelu- ja demovaiheessa
  • ennalta tarkastettujen ja ennalta hyväksyttyjen kirjastojen sekä asennuspakettien käyttäminen; sekä
  • tietoturvan testaaminen osana automatisoitua testijoukkoa

Ohjelmistokehitysprosessiin kuuluvat yleensä ainakin suunnittelu-, kehitys-, testaus- ja julkaisuvaiheet. Perinteisesti testaus — mukaan lukien tietoturvatestaus — tapahtuu kehitysvaiheen jälkeen. Tämä tarkoittaa sitä, että mikäli kehitysvaiheen päätyttyä havaitaan merkittäviä ongelmia (ja näitä usein myös todellakin havaitaan), joudutaan tavallaan käynnistämään aiempia vaiheita uudelleen ja hyväksymään tästä aiheutuva kokonaiskustannusten nousu.

Shift-Left

Tietoturvan fail fast

Sitä mukaa kun ongelmia havaitaan, on löydettävä niiden syntyyn vaikuttavat tekijät ja ratkaisuja näiden ongelmien korjaamiseen. Monimutkaisissa järjestelmissä kyse ei useinkaan ole yhdestä ainoasta syystä, vaan useiden yksittäisten asioiden vuorovaikutuksesta. Turvallisuuteen, suorituskykyyn ja palvelun saatavuuteen liittyvien vikojen jälkeenpäin tapahtuva korjaaminen on kallista ja aikaa vievää puuhaa — edessä voi olla jopa kokonaisarkkitehtuuriin vaikuttavia muutoksia. Vian löytämiseen, ratkaisun kehittämiseen ja korjauksen implementointiin ja testaamiseen vaadittu aika voi olla arvaamattoman pitkä. Tämä johtaa toimitusten myöhästymiseen ja käyttäjien tarpeettomaan turhautumiseen.

Onko se laatua - kyllä se on

Ottamalla tietoturvan osaksi kehitystyötä jo varhaisessa vaiheessa, voivat kehittäjät ja kehitystiimit saavuttaa merkittäviä tehokkuus- ja laatuhyötyjä — sen sijaan että jättäisivät testauksen kehitysprosessin loppuvaiheeseen ja joutuisivat tekemään samoja asioita uudelleen. Ideaalitilanteessa merkittävä osa tästä testaustyöstä voitaisiin automatisoida, mutta ehdottomasti paras vaihtoehto olisi tuottaa jo valmiiksi mahdollisimman ongelmatonta koodia.
Veracode Security Labs - Choose lab topic

Mitä sitten

Shift left on security edellyttää muutoksia perinteisiin tietoturvakäytäntöihin, mutta lähemmin tarkasteltuna kyseessä ei kuitenkaan ole merkittävä poikkeama perinteisisin ohjelmistokehitysmenetelmiin verrattuna.

Kerromme mielellämme lisää shift leftistä ja sen tuomista mahdollisuuksista tuottaa entistä parempia ohjelmistoja!

Miten käytännössä 

Katso webinaaritallenne Hands-On Training to Shift AppSec Knowledge Left.

Tallenne on Mint Securityn ja Veracoden yhteisestä webinaarista, jossa esitellään Veracoden Security Labs -palvelua, Yleisesittelyn lisäksi mukana on palvelun käytännön demo, jossa käydään läpi miten erilaisia tietoturvahaasteita voidaan käsitellä ohjelmoinnissa. 

 
Veracode container scanning
sdlc
Saku Tuominen

Veracode Container Securityn hyödyntäminen pilvisovellusten ohjelmistokehityksen turvaamisessa

Pilvipohjainen ohjelmistokehitys on kantava voima, koska se antaa mahdollisuuden rakentaa ja ottaa käyttöön sovelluksia vauhdilla ja skaalautuvasti. Mikropalveluiden, pilvi-infrastruktuurin ja API-rajapintojen ohella kontit (containers) ovat tärkeä osa tätä kehitysprosessia. Tutkitaanpa hieman konttien turvallisuusvaikutuksia pilvipohjaisten sovellusten kehittämisessä ja niiden aiheuttamien tietoturvahaasteiden hallintaa.

Lue lisää »
Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.