آیا DevSecOps برای انجام کار نیاز به نظارت دارد؟


یک پنل در DeveloperWeek سازمان های بالقوه ای را بررسی کرد که اگر چرخه DevSecOps آنها شامل نظارت بر برنامه نباشد ، می توانند با آنها روبرو شوند.

سرعت باورنکردنی تحویل مداوم برنامه ها و نرم افزارها می تواند شامل گنجاندن امنیت در چرخه توسعه باشد ، که می تواند آسیب پذیری های فراموش شده را ترک کند. ممکن است راه هایی برای رفع این مشکل از طریق نظارت خودکار وجود داشته باشد ، که می تواند مشکلاتی را که سازندگان باید با آن کنار بیایند برجسته کند. در جریان کنفرانس مجازی DeveloperWeek هفته گذشته ، کارشناسان دانشگاه استنفورد و DeepFactor در مورد خطراتی که سازمان ها می توانند با آن روبرو شوند در صورت عدم نظارت بر بخشی از معادله DevSecOps ، بحث کردند.

تصویر: SIAMRAT.CH - stock.Adobe.com

تصویر: SIAMRAT.CH – stock.Adobe.com

کایران کمیتی ، مدیر عامل DeepFactor ، گفت که امروزه گنجاندن محافظت در چرخه توسعه نرم افزار DevOps ، ایجاد DevSecOps یک ضرورت است. از نظر امنیتی ، نظارت اجازه می دهد تا آسیب پذیری های احتمالی توسط توسعه دهندگان بررسی شوند ، و سپس می توانند به سرعت تغییرات لازم را ایجاد کنند.

نیل داسوانی ، مدیر مشترک برنامه صدور گواهینامه امنیت پیشرفته استنفورد ، گفت: DevSecOps با توجه به موفقیت هایی که می توان علت اصلی آن را در آسیب پذیری های نرم افزار جستجو کرد ، توجه بیشتری را به خود جلب کرده است. وی گفت: “اگر به تخلف سال 2019 پایتخت وان نگاه کنیم ، سرور تقلبی که از آن استفاده کرده است از یک آسیب پذیری استفاده می کند.” “همه کسانی که از نقض Equifax شنیده اند می دانند که این به دلیل آسیب پذیری Apache Struts است. همچنین یک آسیب پذیری SQL Injection وجود داشت که در حمله خاص مورد استفاده قرار گرفت. “

داسوانی گفت ، شرکت ها و توسعه دهندگان می خواهند در اسرع وقت کد و ویژگی های جدیدی دریافت کنند و ضمن راه اندازی بسیاری از ویژگی های جدید ، نیاز به کاهش خطر را ایجاد می کنند. وی گفت: “ما باید با خشونت بیشتری به مدلی برویم که به ما امکان حمل و نقل و چابکی را بدهد ، اما همچنین می تواند به جلوگیری از برخی از این پیشرفت های بزرگ کمک کند.”

کامیتی گفت که با کاربرد سریع برنامه های پیچیده و سریعتر ، نیاز به اتوماسیون برای یافتن مشکلات بالقوه توسعه وجود دارد. “برای AppSec غیرممکن است [application security] تیم ها برای شناسایی دستی خطرات امنیتی و انطباق با برنامه های آنها ، “او گفت.

مایک لارکین ، مدیر فنی DeepFactor ، گفت که شرکت وی یک پلت فرم نظارت برای نظارت بر برنامه ها ساخته است زیرا محدودیت هایی را در مورد ابزار تجزیه و تحلیل کد استاتیک می بیند. وی گفت: قابلیت ردیابی راهی است که توسعه دهندگان می توانند درک بهتری از عملکرد برنامه ها داشته باشند. لاركین گفت ، بررسی API های خطرناك بخشی از این معادله است. این شامل کار با API های قدیمی است که باید پس گرفته شوند اما همچنان مورد استفاده قرار می گیرند و اجزای شخص ثالث نیز می توانند از این API ها استفاده کنند. وی گفت: “امروز با سرعت توسعه ، هیچ کس نخواهد نشست و هر کدی را که در برنامه اعمال می کند ، حسابرسی می کند.” “فقط وقت کافی برای آن وجود ندارد.”

داسوانی گفت: مدلهای توسعه قدیمی ممکن است در هر مرحله شامل آزمایشهای امنیتی باشند ، اما چنین روندی محدودیتهایی دارد. وی گفت: “این یک مدل کاملاً نمونه است و به سرعتی نیست که بتوانید به طور مداوم برنامه خود را برای آسیب پذیری های احتمالی کنترل کنید.”

تخلفات با مشخصات بالا با توسعه برنامه ها آسیب پذیری ها را به یک نگرانی مداوم تبدیل می کند. داسوانی به نقض سال 2018 در فیس بوک اشاره می کند ، جایی که مسئله امنیتی از ویژگی است که به کاربران شبکه های اجتماعی اجازه می دهد پروفایل ها را به عنوان عضوی از عموم مردم ببینند. وی گفت: “مشخص شد که در این نقض خاص ، سه آسیب پذیری نرم افزاری وجود داشت که به طور همزمان مورد سو simultane استفاده قرار گرفتند.”

این آسیب پذیری ها شامل استفاده از فیلدی است که در آن کاربران می توانند تولد را به اعضای خود تبریک بگویند ، این امر به شما امکان می دهد یک رمزگذار ویدئو را وارد کنید و مشکلات مربوط به نحوه صدور رمزهای دسترسی را در اختیار شما قرار می دهد. داسوانی گفت: “این یک آسیب پذیری بسیار پیچیده بود.” “من حدس می زنم که مهاجمان به آن سمت رفتند زیرا فیس بوک تمام API ها و قرار گرفتن در معرض قبلی خود را قفل کرد ، که منجر به هک کمبریج آنالیتیکا و سو abuse استفاده از خدمات آنها شد.”

چرخه توسعه برای ادامه شتاب آماده است و امنیت می تواند نگرانی مداوم برای آینده قابل پیش بینی باشد. با نقض پایتخت یک در سال 2019 ، داسوانی گفت که یک کارمند سابق AWS با استفاده از نمونه EC2 که دارای آسیب پذیری به عنوان یک رله است ، قادر به جستجوی سرویس فراداده آمازون است. وی گفت: “مهاجم درخواست هایی را به سرویس فراداده اعتبارنامه های امنیتی ارسال کرده است.” پس از تأیید درخواست ، سرانجام مهاجم سعی کرد با بیش از 100 میلیون درخواست اعتباری با Capital One دسترسی پیدا کند. داسوانی گفت: “من تعجب می كنم اگر اینها آخرین نمونه های آسیب پذیری نرم افزار پیچیده باشند كه منجر به پیشرفت هایی می شوند.”

برای مطالب مرتبط بیشتر ، این داستان ها را دنبال کنید:

AIOps ، DevSecOps و فراتر از آن: بررسی جنبه های جدید DevOps

توسعه دهندگان را با DevSecOps بیشتر کنید

اولویت امنیتی رو به رشد برای DevOps و مهاجرت ابری

چگونه هوش مستمر باعث بهبود دید در DevOps می شود

Joao-Pierre S. Ruth کار خود را غرق در روزنامه نگاری تجارت و فن آوری گذراند ، ابتدا در صنعت محلی در نیوجرسی ، بعداً به عنوان سردبیر Xconomy در نیویورک فعالیت های خبری خود را آغاز کرد ، و به انجمن راه اندازی فناوری شهر پرداخت و سپس به عنوان یک فریلنسر برای چنین مواردی فعالیت کرد. سایت ها به عنوان. .. بیوگرافی کامل را ببینید

ما از نظرات شما در مورد این موضوع در کانال های رسانه های اجتماعی خود استقبال می کنیم [contact us directly] با س questionsالات در مورد سایت.

بینش بیشتر




منبع: tasiveh-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>