Сигурността трябва да е интегрална част от разработването на софтуер
Уязвимостите в сигурността имат лошия навик да се появяват след като софтуерното приложение бъде внедрено. Оказва се, че много от пропуските е могло да бъдат разрешени предварително, ако са
използвани подходящите методи и инструменти за разкриването им. Нов анализ, публикуван от фирмата за сигурност на уеб-приложения Invicti, разглежда времето и ресурсите, изразходвани за проследяване
на "дупки" в сигурността в разработените приложения. За своето проучване Invicti си е партнирала с Wakefield Research, за да анкетира 500 специалисти по киберсигурност и разработчици на софтуер,
чиито позиции са на ниво директор, пише TechNews.bg.
Около 41% от специалистите по сигурността и 32% от анкетираните разработчици казват, че прекарват повече от пет часа всеки работен ден за справяне с проблеми със сигурността, които не е трябвало да
са възникнали изобщо! Справянето с тези проблеми, особено в разгара на така нареченото "Голямо напускане" и притесненията за предстоящи кибератаки, може лесно да доведе до стрес и прегаряне сред
професионалистите.
Около 81% от респондентите казват, че заявките за помощ – т.нар. тикети – имат "магическата сила" да се изсипват в самия край на работния ден. Една трета от анкетираните споделят, че им се е
налагало да отменят срещи и вечери с приятели поради проблеми със сигурността на работното място. Освен това половината разкриват, че им се е случвало да работят през уикенда или ваканцията, за да
разрешат проблем.
Въпреки стреса, много от анкетираните намират положителни аспекти в работата си. Около 65% от професионалистите по сигурността и разработчиците вярват, че са спестили на компаниите си много пари
през последната година, като са предотвратили пробиви. Цели 95% споделят, че цифровата трансформация и преминаването към отдалечена работна сила са направили работата им по-ценна и
по-удовлетворяваща.
Наред с това това 49% от анкетираните посочват, че са приятелски настроени към своите колеги в областта на сигурността или разработването, което е доста по-добър резултат в сравнение с
констатациите от миналата година.
Все пак честите уязвимости и проблеми в сигурността, които се появяват, са доказателство за необходимостта от подобрение в цикъла на разработка на приложения.
"Сигурността сега е работа на всекиго от нас. Липсата на връзка между сигурността и разработването [на приложения] често водят до ненужни забавяния", казва главният продуктов директор на Invicti
Сонали Шах.
Поради губенето на много време в неочаквани "поправки" и поради естеството на киберзаплахите в днешно време е изключително важно сигурността да бъде "вградена" в жизнения цикъл на разработването на
софтуер, подчертават специалистите.
"Проверяването на сигурността на приложението трябва да бъде автоматизирано – както по време на разработването на софтуера, така и след като бъде въведен в експлоатация. Използвайки инструменти,
които предлагат кратки времена за сканиране, точни констатации и интеграция в работните потоци за разработка, организациите могат да създадат истински сигурен, безопасен програмен код".
Когато става въпрос за разработка на софтуер, иновациите и сигурността не трябва да се конкурират, казва още Шах. Обратно, те са свързани по същество.
"Когато имате подходяща стратегия за сигурност, развойните екипи са способни да създават сигурни приложения, вграждайки мерки за сигурност в самата архитектура на софтуера", казва Шах.
Безопасността, според него, трябва да бъде вплетена в развойния процес, така че да обхваща целия жизнен цикъл на създаването на приложения.
Затова е желателно да се инвестира в инструменти за автоматизирана проверка. Тогава организацията ще има повече време и ресурси да създава иновации, вместо хората ѝ да се борят с проблеми, които е
можело въобще да не възникват.