مقالات التقنية

تقع معركة تأمين البيانات الآن على المطورين ؛ إليك كيف يمكنهم الفوز


تحقق من جميع الجلسات عند الطلب من قمة الأمن الذكي هنا.


يصنف كبار مسؤولي المعلومات (CIOs) الأمن باعتباره التحدي الأول عبر مؤسسات تكنولوجيا المعلومات. ويقول 82٪ منهم إن سلاسل توريد البرمجيات الخاصة بهم معرضة للخطر.

لذلك ، مع استمرار تطور التهديدات الأمنية وتصبح أكثر تعقيدًا ، تم استغلال المطورين للعمل عن كثب مع فرق الأمان لخبز طبقة من الأمان من الألف إلى الياء وضمان اتخاذ التدابير طوال دورة حياة التطوير.

نتيجة لهذا وغيره من العوامل ، أصبح الأمن السيبراني قضية مكلفة بشكل متزايد. في تقرير حديث ، توقعت شركة McKinsey أن الأضرار الناجمة عن الهجمات الإلكترونية ستصل إلى ما يقرب من 10.5 تريليون دولار سنويًا بحلول عام 2025 ، بزيادة قدرها 300٪ عن عام 2015.

في الوقت نفسه ، لاحظت الحكومات في جميع أنحاء العالم المخاطر التي تتعرض لها سلسلة توريد البرمجيات. في الولايات المتحدة ، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) قائمة بأهداف الأداء السيبراني المصممة لحماية البنية التحتية الحيوية في جميع أنحاء البلاد. في الوقت الحالي ، تعد هذه الإرشادات اختيارية ، ولكن هناك إشارات على أنها يمكن أن تكون بمثابة أساس للوائح الفيدرالية.

حدث

قمة الأمن الذكي عند الطلب

تعرف على الدور الحاسم للذكاء الاصطناعي وتعلم الآلة في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم.

مشاهدة هنا

هذه علامة إيجابية ، ولكن كما هي ، هناك مجموعة واحدة تعزز بشكل متزايد خطوط الدفاع الأمامية في المعركة من أجل أمن البيانات: المطورون.

أربع ركائز لتأمين سلسلة توريد البرمجيات

يتم تكليف فرق الأمن بفعل كل ما يلزم لتأمين بيانات مؤسستهم ، ولكن مع تزايد أعداد وأساليب هجمات سلسلة توريد البرامج ، أصبح الأمر صعبًا. يعد فرض السياسات عبر مجموعة متنوعة من العمليات مصدر قلق متزايد ، كما تم تكليف فرق الأمن أيضًا بتنفيذ الامتثال وأفضل الممارسات.

كانت النتيجة في العديد من المؤسسات مثقلة بالأعباء وفرق العمل “المنحدرة” على فرق التطوير التي تم استدعاؤها حتمًا لإصلاح وتحصين عدد لا يحصى من مشكلات سلسلة التوريد التي غالبًا ما لا تحظى بالأولوية.

الحقيقة الصعبة هي أن معظم المنظمات ليس لديها مهندس أو قائد يكون تركيزه الوحيد هو DevSecOps. في هذه الحالة ، أصبح من الشائع بشكل متزايد أن تعمل فرق الأمن والتطوير معًا و “خبز” الأمان في تطبيقاتهم وعملياتهم منذ البداية.

نظرًا لأن المطورين يلعبون الآن دورًا أكثر حيوية في الكفاح من أجل أمان البيانات ، فهناك أربع ركائز يتعين عليهم وضعها في الاعتبار عندما يتعلق الأمر بتأمين سلسلة توريد البرامج:

زيادة التركيز على حزم البرامج

على المستوى الأساسي ، حزم البرامج عبارة عن وحدات من التعليمات البرمجية التي تم تجميعها معًا لتشكيل تطبيق. تتمثل الإستراتيجية الشائعة بين الجهات الخبيثة اليوم في مهاجمة الحزم المخترقة التي تحتوي على أكثر من مجرد كود مصدر – فقد تكون هناك مفاتيح حساسة أو تكوينات أو مكونات أخرى يمكن أن تجعل المؤسسة عرضة للخطر.

كخط دفاع ، يحتاج المطورون إلى كل من الأدوات والمعرفة للكشف عن المشكلات داخل الحزم التي لا تظهر في التعليمات البرمجية المصدر وحدها للحصول على فهم كامل لتأثير عمليات الاستغلال المحتملة.

فهم السياق الذي تعمل فيه البرامج

بالإضافة إلى حزم البرامج ، يحتاج المطورون إلى معرفة وفهم السياق الذي تعمل فيه البرامج لحمايتها بشكل أفضل. على وجه التحديد ، يحتاجون إلى تحديد والتعرف على إساءة استخدام مكتبة OSS ، والاستخدام غير الآمن للخدمات ، والأسرار المكشوفة ومشكلات تكوين البنية التحتية كرمز (IaC). يجب عليهم بعد ذلك تحديد قابلية تطبيق واستغلال أخطر نقاط الضعف في تطبيقاتهم.

قد تكون نقاط الضعف والتعرض الشائعة (CVEs) قابلة للاستغلال وقد لا تكون قابلة للاستغلال بناءً على تكوينات التطبيق واستخدام آليات المصادقة وكشف المفاتيح. يحتاج المطورون ، جنبًا إلى جنب مع فرق الأمان ، إلى التحقق مما إذا كانت المكتبات والخدمات والشياطين و IaC التي يعتمدون عليها قد أسيء استخدامها أو تم تكوينها بشكل خاطئ عبر سلسلة توريد البرامج ، بما في ذلك في أماكن العمل وفي السحابة وعلى الحافة.

التأكد من أن كل عملية وأداة تشتمل على الأمان

من الناحية المثالية ، يجب على فرق المطورين إدارة جميع القطع الأثرية والمستودعات في مكان واحد ، وإنشاء مصدر واحد للحقيقة للمؤسسة. عندما تتحكم فرق التطوير في محفظتها بالكامل ، يكون الأمان عملية طبيعية وسلسة من البداية – يصبح المصدر الوحيد للحقيقة مصدرًا واحدًا للثقة.

عند إدارتها بشكل صحيح ، تتطلب كل عملية وأداة DevOps الأمان وتتضمنه. الفكرة هي توحيد وتسريع وتأمين تسليم البرامج من المطور إلى النشر. تضع فرق الأمان الاستراتيجيات والسياسات ، بينما تقوم فرق التطوير بمعالجة قواعد التعليمات البرمجية وإدارتها. يجب معالجة الحزم والبنية التحتية وعمليات الدمج والإصدارات والتدفقات لتمكين سير العمل الذي يعمل مع فرق DevOps الأساسية ، وليس فقط مجموعات الأمان والمطورين.

اكتشاف نقاط الضعف قبل استغلالها

يجب أن تشارك معظم المؤسسات مع محللين تابعين لجهات خارجية أو مجتمعات مفتوحة المصدر تتمتع بخبرة بحثية متقدمة للمساعدة في اكتشاف نقاط الضعف قبل استغلالها. يمنح هذا الشركات فرصة للرد بسرعة على الهجمات الجديدة عندما تصبح سائدة في الصناعة ، والتي بدورها تمكنهم من تحديث قواعد البيانات بسرعة من خلال التحليل السياقي الذي يحاكي عمل الباحثين.

تمكين الابتكار

يسمح تطبيق الأمان عبر عملية التطوير بأكملها للمطورين بالتطوير بشكل جيد. يعني نشر الاستراتيجيات المذكورة أعلاه أنهم لا يقضون كل يوم في إصلاح مشكلات الأمان التي لا يفهمونها ، مع منحهم طرقًا أسهل وأسرع لإصلاح الثغرات ومعرفة أنهم يصلحونها تمامًا.

لا يوجد نقاش حول أن الأمن هو مصدر قلق حقيقي وحيوي ، ولكن المنظمات الفائزة هي تلك التي تجعلها أولوية عبر سلسلة توريد البرمجيات. وهذا بدوره يسمح لمطوريهم بالابتكار ودفع الأعمال إلى الأمام.

ناتي دافيدي هي نائب الرئيس الأول للأمن في JFrog.

صانعي القرار

مرحبًا بك في مجتمع VentureBeat!

DataDecisionMakers هو المكان الذي يمكن للخبراء ، بما في ذلك الأشخاص التقنيين الذين يقومون بعمل البيانات ، مشاركة الأفكار والابتكارات المتعلقة بالبيانات.

إذا كنت تريد أن تقرأ عن الأفكار المتطورة والمعلومات المحدثة ، وأفضل الممارسات ، ومستقبل البيانات وتكنولوجيا البيانات ، انضم إلينا في DataDecisionMakers.

يمكنك حتى التفكير في المساهمة بمقال خاص بك!

قراءة المزيد من DataDecisionMakers

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى