Juuri julkaistussa podcastissa Veracoden CTO Chris Wysopal arvioi sovellusten tietoturvan evoluutiosta viimeisen kymmenen vuoden aikana.
Wysopal perustaa arvionsa Veracoden vuosittain julkaisemaan State of Software Security (SOSS) -raporttiin, josta ilmestyi kymmenes julkaisu jokin aikaa sitten. SOSS -raportin ensimmäinen julkaisu vuonna 2010 keskittyi kuvaamaan ja korostamaan sovellusten tietoturvan merkitystä. Raportin kymmenes julkaisu antaa kuvan, miten tietoturvallinen sovelluskehitystä toteutetaan käytännössä.
Suunnitelmallisempaa toimintaa
Lähestymiskulma sovellusten tietoturvaan on muuttunut tietoisuuden lisäämisestä yhtä suunnitelmallisemmaksi, mikä on positiivinen signaali tietoturvan merkityksen noususta. Tämä näkyy myös siinä, että skannattujen ohjelmien määrä on kasvanut valtavasti vuosien aikana. Samaan aikaan myös haavoittuvuuksien määrä on kasvanut. Hyvä kehitystä puolestaan kuvaa se, että vakavien haavoittuvuuksien määrä on laskenut, mikä tavallaan kertoo korjausten priorisoinnista: vakavat ja riskialttiit virheet korjataan ensin.
Tätä kehitystä voidaan tarkastella kahdesta eri näkökulmasta. Ensinnäkin, mikäli sovellusten tietoturva on vasta alkuvaiheessa, onkin järkevää, että todella vakavat haavoittuvuudet korjataan ensin. Toisaalta, kun sovellusten tietoturva on ollut jo käytössä, sen kypsyysastetta on hyvä nostaa. Vakiintunut, parhaita käytäntöjä hyödyntävä tietoturvaorganisaatio ei erityisesti suosi mitään sovellusta tai ongelmaa, vaan skannaa kaikki sovellukset ja korjaa kaikki haavoittuvuudet.
DevSecOps
Kun tietoturvasta tehdään standardisoitu DevSecOps (tai myös SecDevOps) menetelmän mukainen, tietoturvasta tulee elimellinen osa sovelluskehitystä. DevSecOpsiin siirtyminen edellyttää usein erilaisten siilojen purkamista ja kehitys- ja tietoturvatiimien välistä saumatonta yhteistyötä. Tietoturva käsitetään usein kehitystyön vastapooliksi, mutta kun osapuolet ymmärtävä toistensa roolit, voidaan ottaa käyttöön ns. ”security champion” -rooli. Tässä roolissa toimivat kehittäjät/koodarit sitoutuvat toimimaan tietoturvan lähettiläinä omassa tiimissään.
Viime kädessä tietoturvan pitäisi olla osa kehittäjien ajatusmaailmaa ja sen pitäisi tulla mukaan jo koulutusvaiheessa.
Lisää aiheesta Chris Wysopalin podcastissa: https://info.veracode.com/podcasts-idg-hard-look-software-security.html
Veracode
SAST – Koodin staattinen tarkistus SCA – Kirjastoanalyysi ja inventaario SDLC sovelluskehitysintegraatio Yrityksen koko sovellusportfolion tietoturvariskien hallinta samassa palvelussa Veracoden palvelun avulla voidaan tutkia ja
Kirjastojenhallinta – SCA – ja moninaiset viitekehykset ja vaatimukset
Yhä useampi standardi, viitekehys ja asiakasvaatimus edellyttää – peräti huutaa – kirjastonhallinnan perään. Huutaa siksi että modernit sovelluskehitysmenetelmät ovat täysin riippuvaisia ulkoisista kirjastoista eli riippuvuuksista.
