Micro Focus trendek: 4 gyakorlat az alkalmazások biztonságának fejlesztésére

„A biztonság egy folyamat, nem egy termék.”

Bruce Schneier, amerikai számítógépbiztonsági és adatvédelmi szakember

BUDAPEST
2020. november 25.

Egy biztonsági hiba az alkalmazásban sok pénzbe kerülhet a cégnek. A rést kihasználva ugyanis a kiberbűnözők betörhetnek a vállalat rendszerébe, és komoly károkat okozhatnak. Ez természetesen a legrosszabb eshetőség, de már az is kellemetlen, ha a szoftverfejlesztési ciklus utolsó fázisában kell orvosolni a problémát, amikor a javítás már jelentős mennyiségű időbe és energiába kerül. A Micro Focus szakértői bemutatják, hogyan gondoskodhatnak a vállalatok az alkalmazások biztonságáról jól átgondolt stratégia és fejlett eszközök segítségével.

Az alkalmazások biztonsága fontos terület a cégek működésében, és a szervezeteken belül több szakember és részleg is foglalkozik vele. A döntéshozók általában egy, kifejezetten az ő részükre kialakított irányítópulton vagy jelentésben tekintik át a cégnél használt alkalmazások állapotát. A fejlesztők a szoftveres ticketing rendszerben kezelik a biztonsági szakemberek által megjelölt biztonsági problémákat, egyes nagyobb vállalatok szoftvermérnöki csapata pedig saját önkiszolgáló biztonsági tesztelési modellt hoz létre annak érdekében, hogy a lehető leghatékonyabban menedzseljék ezt a feladatkört. A Micro Focus összegyűjtötte azt a négy legfontosabb gyakorlatot, amit az ügyfelei közé tartozó, ismertebb nagyvállalatok is alkalmaznak.

Teszt: minél előbb, annál jobb!

Minél később fedezik fel a biztonsági réseket és hibákat a szoftverfejlesztési folyamat során, annál többe kerül a kijavításuk. Ezért az alkalmazásbiztonság optimalizálásához kulcsfontosságú, hogy a lehető legkorábban azonosítsák és orvosolják ezeket a sebezhetőségeket. Az alkalmazásbiztonságért felelős csapatoknak minél több biztonsági és kódellenőrzési folyamatot kell bevezetniük a szervezet integrált fejlesztési környezetébe (integrated development environment – IDE), de csak addig a szintig, amíg ez nem rontja a fejlesztők hatékonyságát.

A kódellenőrző funkciók integrálása segíthet a fejlesztőknek abban, hogy a kódírás során a biztonságra is odafigyeljenek, illetve biztonságosabb kódolási módszereket sajátítsanak el. Ilyen lehetőséget kínálnak a statikus elemző eszközök, köztük a Fortify Static Code Analyzer. A kódszerkesztési folyamatok során azonban csupán a legegyszerűbb vizsgálatokat érdemes lefuttatni. További, alaposabb teszteket a fejlesztési ciklus későbbi pontjain célszerű alkalmazni.

Önkiszolgáló eszközöket minden fejlesztőnek!

Az alkalmazásbiztonságért felelős szakembereknek azt is biztosítaniuk kell, hogy a biztonsági eszközöket egyszerűen lehessen használni és igény szerint futtatni. Ha a fejlesztők maguk is képesek azonosítani és javítani a biztonsági hibákat, akkor a fejlesztési folyamat is agilisabbá válik, és jobban összhangba kerül az olyan, folyamatos integrációs módszerekkel, mint például a DevOps. Szintén segíti és gyorsítja a fejlesztők munkáját, ha automatizált és önkiszolgáló eszközökkel, önállóan gondoskodhatnak az alkalmazások biztonságáról. A Micro Focus alkalmazásbiztonsági portfóliója számos olyan hasznos eszközt tartalmaz, amelyek segítségével automatizáltan felkutathatók, rangsorolhatók és javíthatók a hibák.

Mindenkivel a saját nyelvén

A vállalatok eltérő szintjein tevékenykedő szakembereknek különböző rálátással kell rendelkezniük az alkalmazásbiztonságra. A menedzsmentnek általában magas szintű, átfogó jelentésre van szüksége, illetve specifikus mutatókra, amelyekkel nyomon követhető az alkalmazásbiztonság állapotának előrehaladása. Míg a fejlesztők egyszerűen a többi hibához hasonló, kijavítandó „bug”-ként tekintenek a biztonsági problémákra. Ezért feléjük az ő nyelvükön kell kifejezni az ehhez kapcsolódó információkat és teendőket. Emellett az alkalmazásbiztonságért felelős szakembereknek olyan teljesítménymutatókat (KPI) is érdemes használniuk, amelyekkel mérni tudják a biztonsági állapotot.

Biztonsági kultúra

Végül, de nem utolsó sorban arra is fontos figyelmet fordítaniuk a cégeknek, hogy erős biztonsági kultúrát építsenek ki. Ahelyett, hogy „kötelezővé tennék” minden fejlesztő számára, hogy foglalkozzon a biztonsággal is, érdemes inkább megkeresni azokat a szakembereket, akik szívesen sajátítanak el minden hasznos információt a biztonságos kódoláshoz. Az ilyen lelkes és érdeklődő kollégák támogatásával hatékonyabb biztonsági programot lehet működtetni, és jobb eredményeket lehet elérni.

 

 

Micro Focus
A Micro Focus a világ egyik legjelentősebb szoftvervállalata, Európában pedig a második legnagyobbnak számít, amely az elmúlt 40 évben saját termékfejlesztésekkel, illetve felvásárlásokkal bővítette portfólióját. A vállalati szoftverek piacának vezető és legmodernebb technológiáival segíti ügyfeleit a digitális átalakulásban, beleértve a mesterséges intelligenciát, a gépi tanulást, az analitikát és az automatizációt. Megoldásai hidat építenek a régi és az új között, így a vállalatok minimális kockázatok mellett alkalmazhatják a legkorszerűbb, innovatív eszközöket. Egyedülálló módon támogatja ügyfeleit abban, hogy a maximumot hozzák ki szoftvereikből, biztonságosan és hatékonyan menedzseljék adataikat, alkalmazásaikat és eszközeiket, továbbá kihasználják a hibrid infrastruktúrák előnyeit, a mainframe rendszerektől kezdve a mobil eszközökön át a felhőalapú megoldásokig. Szoftverei segítségével a szervezetek egyszerűen kezelhetik napjaink gyorsan változó kihívásait, legyen szó a kiberfenyegetések elhárításáról, a megfelelőségi előírások teljesítéséről, az IT-szakemberhiány enyhítéséről vagy éppen a növekvő mennyiségű adatok hatékony kezeléséről.

Sajtókapcsolat

Jekler Rudolf
Kommunikációs vezető
+36-20-967-5565

Kovács Viola
Vezető tanácsadó
+36-30-510-8140