И почему безопасность приложений похожа на ношение масок

Ношение маски для предотвращения коронавируса становится нормой в моем городе. Он сильно пострадал от кризиса COVID, и теперь мы пришли к негласному консенсусу: носить маски, куда бы вы ни пошли.

Это сильно отличается от того, где мы были всего несколько месяцев назад. Маски для лица имели плохую репутацию, и местному отделу здравоохранения было трудно заставить людей их носить. Что мешало людям носить маски? Оказывается, люди ненавидят маски, потому что они затрудняют дыхание, затуманивают очки и могут выглядеть довольно неловко. Но плюсы масок перевешивают минусы. И, надевая маски для лица, мы защищаем себя и свои сообщества от вируса.

Безопасность приложений похожа на ношение масок. Внедрение безопасных методов требует больших усилий, но в конечном итоге будет полезно для вас. Инструменты безопасности получают плохую репутацию. Разработчики опасаются, что если что-то пойдет не так, они замедлят их работу, сделают их работу плохо или даже лишат их работы. В частности, инструменты статического анализа известны тем, что дают ложные срабатывания, для устранения которых требуется много человеческих ресурсов. Рекомендации по исправлению, как правило, носят общий характер и непонятны и требуют от разработчиков тратить время на чтение расширенной документации.

Несмотря на эти препятствия, как мы можем создать культуру приоритетов безопасности приложений, как мы создали культуру ношения масок?

  • Представьте доказательства

Когда пандемия только началась, одним из препятствий, мешавших людям носить маски, была неосведомленность. Действительно ли маски предотвратят распространение вируса? Так ли опасен вирус? Стоит ли носить маску вообще хлопот?

Чтобы помочь разработчикам писать безопасный код, нам нужно помочь разработчикам узнать о безопасности и о том, как безопасность влияет на их пользователей. Помимо стандартного обучения безопасности, которое учит разработчиков таким техническим вопросам, как XXS, SQLi и небезопасная десериализация, нам необходимо ввести обучение безопасности таким образом, чтобы это было актуально для их работы.

Нам нужно эффективное, увлекательное и легкое для понимания решение для обучения разработчиков. К сожалению, доступные в настоящее время ресурсы часто являются до боли общими или состоят из больших блоков текста. Включая обучение безопасности в процесс разработки, мы можем создать мотивацию для изучения безопасности. Сделайте обучение интересным и проясните, почему разработчикам должно быть до них дело.

  • Делай проще

Как и в масках, писать безопасное программное обеспечение может быть неудобно. Сканирование, тестирование и исправление кода неизбежно вносят трение в рабочий процесс разработчика. Нам нужно сделать разработку безопасного кода максимально простой и безболезненной, сосредоточив внимание на том, чтобы сделать инструменты безопасности удобными для разработчиков.

Подобно тому, как мы улучшили маски для лица, используя хорошие материалы и дизайн, мы можем создавать удобные средства защиты. Здесь, в ShiftLeft, мы делаем статический анализ безболезненным, выполняя быстрое сканирование и интегрируя с любимыми инструментами разработчиков. Чтобы создать культуру безопасности, нам нужно показать разработчикам, что передовые методы безопасности, такие как сканирование кода, не должны их замедлять.

  • Создайте культуру ношения масок

Наконец, самое действенное, что мы можем сделать для изменения поведения, - это создать позитивную социальную норму. Когда мы хотим, чтобы люди носили маски, мы связываем ношение масок с положительными социальными ценностями, такими как защита других от коронавируса.

Мы можем сделать то же самое для безопасности приложений. Помимо приоритета быстрой разработки и качества кода, нам необходимо установить культурные нормы, способствующие безопасному развитию. Поощряя безопасные методы работы, отмечая победы в области безопасности и поощряя осторожность, мы можем обезопасить фактическую культуру в наших командах разработчиков.

Соавтором этой статьи является Прабху Субраманиан, ведущий разработчик продуктов компании ShiftLeft Inc. Если вам интересно узнать о ShiftLeft и о том, как мы подходим к DevSecOps с новой точки зрения, не стесняйтесь присоединиться к нам на нашем однодневном виртуальном мероприятии, которое будет проходить весь день 28.01.2021.

Спасибо за прочтение! Какая часть разработки безопасного программного обеспечения является для вас самой сложной? Я хотел бы знать. Не стесняйтесь подключаться к Twitter @ vickieli7.