Hírek / Sajtóközlemény Micro Focus trendek: 4 gyakorlat az alkalmazások biztonságának fejlesztésére Imre Bende (beiraai@gmail.com) 2020. november 25. szerda „A biztonság egy folyamat, nem egy termék.” Bruce Schneier, amerikai számítógépbiztonsági és adatvédelmi szakember BUDAPEST 2020. november 25. Egy biztonsági hiba az alkalmazásban sok pénzbe kerülhet a cégnek. A rést kihasználva ugyanis a kiberbűnözők betörhetnek a vállalat rendszerébe, és komoly károkat okozhatnak. Ez természetesen a legrosszabb eshetőség, de már az is kellemetlen, ha a szoftverfejlesztési ciklus utolsó fázisában kell orvosolni a problémát, amikor a javítás már jelentős mennyiségű időbe és energiába kerül. A Micro Focus szakértői bemutatják, hogyan gondoskodhatnak a vállalatok az alkalmazások biztonságáról jól átgondolt stratégia és fejlett eszközök segítségével. Az alkalmazások biztonsága fontos terület a cégek működésében, és a szervezeteken belül több szakember és részleg is foglalkozik vele. A döntéshozók általában egy, kifejezetten az ő részükre kialakított irányítópulton vagy jelentésben tekintik át a cégnél használt alkalmazások állapotát. A fejlesztők a szoftveres ticketing rendszerben kezelik a biztonsági szakemberek által megjelölt biztonsági problémákat, egyes nagyobb vállalatok szoftvermérnöki csapata pedig saját önkiszolgáló biztonsági tesztelési modellt hoz létre annak érdekében, hogy a lehető leghatékonyabban menedzseljék ezt a feladatkört. A Micro Focus összegyűjtötte azt a négy legfontosabb gyakorlatot, amit az ügyfelei közé tartozó, ismertebb nagyvállalatok is alkalmaznak. Teszt: minél előbb, annál jobb! Minél később fedezik fel a biztonsági réseket és hibákat a szoftverfejlesztési folyamat során, annál többe kerül a kijavításuk. Ezért az alkalmazásbiztonság optimalizálásához kulcsfontosságú, hogy a lehető legkorábban azonosítsák és orvosolják ezeket a sebezhetőségeket. Az alkalmazásbiztonságért felelős csapatoknak minél több biztonsági és kódellenőrzési folyamatot kell bevezetniük a szervezet integrált fejlesztési környezetébe (integrated development environment – IDE), de csak addig a szintig, amíg ez nem rontja a fejlesztők hatékonyságát. A kódellenőrző funkciók integrálása segíthet a fejlesztőknek abban, hogy a kódírás során a biztonságra is odafigyeljenek, illetve biztonságosabb kódolási módszereket sajátítsanak el. Ilyen lehetőséget kínálnak a statikus elemző eszközök, köztük a Fortify Static Code Analyzer. A kódszerkesztési folyamatok során azonban csupán a legegyszerűbb vizsgálatokat érdemes lefuttatni. További, alaposabb teszteket a fejlesztési ciklus későbbi pontjain célszerű alkalmazni. Önkiszolgáló eszközöket minden fejlesztőnek! Az alkalmazásbiztonságért felelős szakembereknek azt is biztosítaniuk kell, hogy a biztonsági eszközöket egyszerűen lehessen használni és igény szerint futtatni. Ha a fejlesztők maguk is képesek azonosítani és javítani a biztonsági hibákat, akkor a fejlesztési folyamat is agilisabbá válik, és jobban összhangba kerül az olyan, folyamatos integrációs módszerekkel, mint például a DevOps. Szintén segíti és gyorsítja a fejlesztők munkáját, ha automatizált és önkiszolgáló eszközökkel, önállóan gondoskodhatnak az alkalmazások biztonságáról. A Micro Focus alkalmazásbiztonsági portfóliója számos olyan hasznos eszközt tartalmaz, amelyek segítségével automatizáltan felkutathatók, rangsorolhatók és javíthatók a hibák. Mindenkivel a saját nyelvén A vállalatok eltérő szintjein tevékenykedő szakembereknek különböző rálátással kell rendelkezniük az alkalmazásbiztonságra. A menedzsmentnek általában magas szintű, átfogó jelentésre van szüksége, illetve specifikus mutatókra, amelyekkel nyomon követhető az alkalmazásbiztonság állapotának előrehaladása. Míg a fejlesztők egyszerűen a többi hibához hasonló, kijavítandó „bug”-ként tekintenek a biztonsági problémákra. Ezért feléjük az ő nyelvükön kell kifejezni az ehhez kapcsolódó információkat és teendőket. Emellett az alkalmazásbiztonságért felelős szakembereknek olyan teljesítménymutatókat (KPI) is érdemes használniuk, amelyekkel mérni tudják a biztonsági állapotot. Biztonsági kultúra Végül, de nem utolsó sorban arra is fontos figyelmet fordítaniuk a cégeknek, hogy erős biztonsági kultúrát építsenek ki. Ahelyett, hogy „kötelezővé tennék” minden fejlesztő számára, hogy foglalkozzon a biztonsággal is, érdemes inkább megkeresni azokat a szakembereket, akik szívesen sajátítanak el minden hasznos információt a biztonságos kódoláshoz. Az ilyen lelkes és érdeklődő kollégák támogatásával hatékonyabb biztonsági programot lehet működtetni, és jobb eredményeket lehet elérni. Micro FocusA Micro Focus a világ egyik legjelentősebb szoftvervállalata, Európában pedig a második legnagyobbnak számít, amely az elmúlt 40 évben saját termékfejlesztésekkel, illetve felvásárlásokkal bővítette portfólióját. A vállalati szoftverek piacának vezető és legmodernebb technológiáival segíti ügyfeleit a digitális átalakulásban, beleértve a mesterséges intelligenciát, a gépi tanulást, az analitikát és az automatizációt. Megoldásai hidat építenek a régi és az új között, így a vállalatok minimális kockázatok mellett alkalmazhatják a legkorszerűbb, innovatív eszközöket. Egyedülálló módon támogatja ügyfeleit abban, hogy a maximumot hozzák ki szoftvereikből, biztonságosan és hatékonyan menedzseljék adataikat, alkalmazásaikat és eszközeiket, továbbá kihasználják a hibrid infrastruktúrák előnyeit, a mainframe rendszerektől kezdve a mobil eszközökön át a felhőalapú megoldásokig. Szoftverei segítségével a szervezetek egyszerűen kezelhetik napjaink gyorsan változó kihívásait, legyen szó a kiberfenyegetések elhárításáról, a megfelelőségi előírások teljesítéséről, az IT-szakemberhiány enyhítéséről vagy éppen a növekvő mennyiségű adatok hatékony kezeléséről. Sajtókapcsolat Jekler RudolfKommunikációs vezető+36-20-967-5565 Kovács ViolaVezető tanácsadó+36-30-510-8140