Motivácia vývojárov je kľúčom k lepším bezpečnostným postupom

Profesionálni vývojári chcú prijať DevSecOps a písať bezpečný kód, ale ich organizácie musia túto zmenu podporovať, ak chcú, aby toto úsilie rástlo.

Krajina kybernetických hrozieb je zo dňa na deň zložitejšia. Útočníci neustále prehľadávajú siete a vyhľadávajú zraniteľné aplikácie, programy, cloudové inštancie a najnovšou verziou tohto mesiaca sú API, ktoré sa všeobecne považujú za ľahké víťazstvo vďaka ich často laxným bezpečnostným kontrolám.

Sú také vytrvalé, že nové aplikácie môžu byť niekedy kompromitované a zneužité v priebehu niekoľkých hodín po nasadení. Správa Verizon 2021 Data Breach Investigations Report veľmi jasne uvádza, že hrozby namierené proti podnikom a organizáciám sú dnes nebezpečnejšie ako v ktoromkoľvek inom bode v histórii.

Začína byť jasné, že jediný spôsob, ako skutočne posilniť vytvorený softvér, je zabezpečiť, aby bol postavený na zabezpečenom kóde. Inými slovami, najlepší spôsob, ako zastaviť inváziu aktérov hrozieb, je v prvom rade im odoprieť oporu vo vašich aplikáciách. Akonáhle začnete bojovať s touto vojnou, väčšina výhod je skreslená smerom k útočníkom.

Z tejto situácie najskôr vznikol agilný vývoj a DevOps a neskôr celé hnutie DevSecOps, kde je bezpečnosť zdieľaná zodpovednosťou každého, kto sa podieľa na procese tvorby softvéru od vývoja až po nasadenie. Ale základom tejto pyramídy a pravdepodobne najdôležitejšou časťou sú vývojári. Zatiaľ čo väčšina vývojárov chce urobiť svoju časť a napísať bezpečný kód, mnohé organizácie, pre ktoré pracujú, menej podporujú zmeny, ktoré si takýto veľký posun priorít vyžaduje.

Porážka podľa návrhu

Po mnoho rokov sa vývojárom hovorilo, že ich primárnou úlohou v ich organizáciách je rýchlo vytvárať a nasadzovať aplikácie v rýchlo sa rozvíjajúcom prostredí, kde sa podnikanie nikdy nezastaví a zákazníci nikdy nespia. Čím rýchlejšie mohli vývojári kódovať a čím viac funkcií mohli nasadiť, tým hodnotnejšie boli vnímaní z hľadiska ich hodnotenia výkonu.

Bezpečnosť bola dodatočná myšlienka, ak sa o nej vôbec uvažovalo. Namiesto toho bolo všetko ponechané na tímy zabezpečenia aplikácií (AppSec), aby to zistili. Tímy AppSec sa väčšine vývojárov nepáčili, pretože často posielali dokončené aplikácie späť do vývoja, aby aplikovali bezpečnostné záplaty alebo prepísali kód na nápravu zraniteľností. A každá hodina, ktorú vývojár strávil prácou na aplikácii, ktorá už bola „dokončená“, bola hodinou, kedy nevytváral nové aplikácie a funkcie, čím sa znížil ich výkon (a ich hodnota v očiach obzvlášť trestnej spoločnosti).

A potom prostredie hrozieb zmenilo dôležitosť a prioritu bezpečnosti pre väčšinu spoločností. Podľa nedávnej správy Cost of a Data Breach Report od IBM a Ponemon Institute stojí teraz priemerné porušenie kybernetickej bezpečnosti približne $3.8 miliónov na incident, hoci to nie je horná hranica. Len jedna spoločnosť zarobila $1.3 miliardové straty po narušení ich siete. Dnešné spoločnosti chcú zabezpečenie, ktoré ponúka DevSecOps, ale, bohužiaľ, pomaly odmeňujú vývojárov, ktorí odpovedia na túto výzvu.

Jednoducho povedať vývojovým tímom, aby zvážili bezpečnosť, nebude fungovať, najmä ak sú stále motivovaní len na základe rýchlosti. V skutočnosti v rámci takéhoto systému vývojári, ktorí si nájdu čas, aby sa dozvedeli o bezpečnosti a zabezpečili svoj kód, mohli v skutočnosti prísť o lepšie hodnotenia výkonu a lukratívne bonusy, ktoré naďalej zarábajú ich kolegovia, ktorí si menej uvedomujú bezpečnosť. Je to skoro, ako keby spoločnosti nevedomky upravovali systém pre svoje vlastné bezpečnostné zlyhania a vracia sa to k ich vnímaniu vývojového tímu. Ak ich nevnímajú ako bezpečnostné predné línie, potom je veľmi nepravdepodobné, že sa zrealizuje životaschopný plán na využitie ich pracovnej sily.

A to ešte nepočíta s nedostatkom tréningu. Niektorí veľmi zruční vývojári majú desiatky rokov skúseností s kódovaním, ale veľmi málo, pokiaľ ide o bezpečnosť… koniec koncov, nikdy sa to od nich nevyžadovalo. Pokiaľ spoločnosť neposkytne svojim skúseným programátorom dobrý školiaci program, len ťažko môže očakávať, že jej vývojári zrazu získajú nové zručnosti a uvedú ich do činnosti zmysluplným spôsobom, ktorý aktívne znižuje zraniteľnosť.

(Ste si už istí bezpečnosťou a chcete súťažiť s inými hviezdami v oblasti bezpečného kódovania? Pripojte sa Secure Code Warrior‘s Devlympiáda 2021, náš najväčší a najlepší celosvetový bezpečnostný turnaj a môžete ho vyhrať!)

Odmeňovanie vývojárov za dobré bezpečnostné postupy

Dobrou správou je, že drvivá väčšina vývojárov robí svoju prácu preto, že ju považujú za náročnú a zároveň obohacujúcu a pretože sa tešia rešpektu, ktorý ich pozícia prináša.

Celoživotný profesionálny kodér Michael Shpilt nedávno napísal o všetkom, čo ho a jeho kolegov z kódovania motivuje v ich vývojovej práci. Áno, medzi týmito stimulmi uvádza peňažnú kompenzáciu, ale je prekvapivo ďaleko v zozname. Namiesto toho uprednostňuje vzrušenie z vytvárania niečoho nového, učenia sa nových zručností a uspokojenie z vedomia, že jeho práca bude priamo použitá na pomoc ostatným. Hovorí tiež o tom, že sa chce vo svojej spoločnosti a komunite cítiť cenený. Stručne povedané, vývojári sú ako veľa dobrých ľudí, ktorí sú hrdí na svoju prácu.

Vývojári ako Shpilt a ďalší nechcú, aby aktéri hrozieb ohrozili ich kód a použili ho na poškodenie ich spoločnosti alebo samotných používateľov, ktorým sa snažia pomôcť. Bez podpory však zrazu nedokážu posunúť svoje priority na bezpečnosť. V opačnom prípade je to takmer tak, že systém bude pracovať proti nim.

Aby vývojové tímy mohli zlepšiť svoje schopnosti v oblasti kybernetickej bezpečnosti, musia sa najprv naučiť potrebné zručnosti. Využitie lešenia na učenie a nástrojov ako Just-in-Time (JiT) školenie môže tento proces urobiť oveľa menej bolestivým a pomáha stavať na existujúcich znalostiach v správnom kontexte.

Princíp JiT spočíva v tom, že vývojárom sa poskytnú správne znalosti v ten správny čas, napríklad ak nástroj na školenie vývojárov JiT zistí, že programátor vytvára nezabezpečený kus kódu alebo náhodne vnáša do ich aplikácie zraniteľnosť, môžu aktivovať a ukázať vývojárovi, ako by mohli vyriešiť tento problém a ako napísať bezpečnejší kód, aby v budúcnosti vykonával rovnakú funkciu.

So záväzkom zvyšovať kvalifikáciu je potrebné odstrániť staré metódy hodnotenia vývojárov založené výlučne na rýchlosti. Namiesto toho by mali byť kóderi odmenení na základe ich schopnosti vytvárať bezpečný kód, pričom najlepší vývojári sa stávajú bezpečnostnými šampiónmi, ktorí pomáhajú zvyšku tímu zlepšovať ich zručnosti. A títo šampióni musia byť odmenení prestížou spoločnosti aj peňažnou kompenzáciou. Je tiež dôležité zapamätať si, že vývojári zvyčajne nemajú pozitívne skúsenosti s bezpečnosťou, a ak ich pozdvihnete pozitívnym, zábavným učením a stimulmi, ktoré hovoria o ich záujmoch, bude to dlhá cesta k zabezpečeniu uchovania vedomostí a túžby udržiavať si zručnosti. .

Spoločnosti môžu stále zahrnúť rýchlosť kódovania ako súčasť hodnotenia vývojára, ale s očakávaním, že vývoj bezpečných aplikácií môže trvať trochu dlhšie, najmä keď sa kóderi učia tieto nové zručnosti.

DevSecOps môže byť dokonalou obranou proti čiernej mágii čoraz nebezpečnejšieho prostredia hrozieb. Len nezabudnite, že šampiónov tohto nového sveta, vývojárov, ktorí dôsledne vytvárajú nový kód, treba rešpektovať a odmeňovať za ich prácu.

Chcete otestovať svoje bezpečnostné zručnosti proti ostatným vývojárom z celého sveta? Odhlásiť sa Secure Code Warrior‘s Devlympiáda 2021a mohli by ste vyhrať hlavnú cenu v našich globálnych turnajoch!