هل تتطلب DevSecOps إمكانية المراقبة لإنجاز المهمة؟

15

ألقت لجنة في DeveloperWeek نظرة على منظمات العرض المحتملة التي قد تواجهها لا تتضمن دورة DevSecOps إمكانية ملاحظة التطبيقات.

الوتيرة السريعة للتسليم المستمر للتطبيقات والبرمجيات يمكن أن تجعل من الصعب تضمين الأمن في دورة التطوير ، مما قد يؤدي إلى تجاهل الثغرات الأمنية. قد تكون هناك طرق لمعالجة هذا من خلال المراقبة الآلية التي يمكن أن تسلط الضوء على القضايا للمطورين لمعالجتها. خلال مؤتمر DeveloperWeek الافتراضي الأسبوع الماضي ، ناقش خبراء من جامعة ستانفورد و DeepFactor المخاطر التي قد تواجهها المنظمات إذا لم تكن إمكانية المراقبة جزءًا من معادلة DevSecOps.

Image: SIAMRAT.CH - stock.Adobe.com

الصورة: SIAMRAT.CH – stock.Adobe.com

قال كيران كاميتي ، الرئيس التنفيذي لشركة DeepFactor ، إن إدراج الأمن في دورة DevOps لتطوير البرمجيات ، وإنشاء DevSecOps ، هو ضرورة. أيام. فيما يتعلق بالأمان ، تتيح إمكانية المراقبة فحص الثغرات الأمنية المحتملة بواسطة المطورين الذين يمكنهم بعد ذلك إجراء التغييرات المطلوبة بسرعة.

اكتسب DevSecOps مزيدًا من الاهتمام في ضوء قال نيل داسواني ، المدير المشارك لبرنامج Stanford Advanced Security Certification Program ، إن الخروقات حيث يمكن إرجاع السبب الجذري إلى ضعف البرامج. وقال: “إذا نظرنا إلى خرق كابيتال وان من عام 2019 ، كان هناك طلب من جانب الخادم للتزوير تم استغلاله”. “كل من سمع عن خرق Equifax يعرف أنه كان بسبب ثغرة في Apache Struts. كانت هناك أيضًا ثغرة أمنية في حقن SQL تم الاستفادة منها في هذا الهجوم المحدد. ”

ترغب الشركات والمطورون في الحصول على تعليمات برمجية وميزات جديدة في أسرع وقت ممكن قال الدسواني ، مما يثير الحاجة إلى التخفيف من المخاطر أثناء طرح ميزات جديدة متعددة كل يوم. قال: “نحن بحاجة إلى الانتقال بقوة أكبر إلى نموذج يسمح لنا بالشحن والتحلي بالمرونة ولكن أيضًا يمكن أن يساعد في تجنب بعض هذه الانتهاكات الكبيرة”.

قال Kamity مع تزايد التطبيقات المعقدة التي يتم إصدارها بمعدلات أسرع وأسرع ، هناك حاجة إلى الأتمتة للمساعدة في العثور على المشاكل المحتملة في خط أنابيب التطوير. “إنه مستحيل بشريًا على AppSec لتحديد مخاطر الأمان والامتثال في تطبيقاتهم بطريقة يدوية “.

قال مايك لاركين ، كبير موظفي التكنولوجيا في DeepFactor ، إن شركته قامت ببناء نظام أساسي للمراقبة لمراقبة التطبيقات لأنه رأى حدودًا لما يمكن أن تفعله أدوات تحليل الكود الثابت. وقال إن الملاحظة هي وسيلة للمطورين لفهم ما إذا كانت التطبيقات تتصرف كما ينبغي. قال لاركن إن التحقق من واجهات برمجة التطبيقات غير الآمنة جزء من المعادلة. يتضمن ذلك التعامل مع واجهات برمجة التطبيقات القديمة التي كان من المفترض أن يتم إيقافها ولكنها تظل قيد الاستخدام ، وقد تستخدم مكونات الجهات الخارجية أيضًا واجهات برمجة التطبيقات هذه. قال: “الوتيرة التي تسير بها عملية التطوير اليوم ، لن يجلس أحد ويفحص كل جزء من التعليمات البرمجية التي يجلبونها في التطبيق”. “ليس هناك وقت كاف لذلك.”

ربما تضمنت النماذج القديمة للتطوير إجراء اختبارات أمنية في كل مرحلة ، كما قال دسواني ، ولكن مثل هذه العملية لها حدود. قال: “هذا نموذج شديد الانحدار ولن يكون بالسرعة التي تستطيع بها مراقبة تطبيقك باستمرار بحثًا عن نقاط الضعف المحتملة”.

جعلت الاختراقات البارزة من الثغرات الأمنية مصدر قلق مستمر مع تطوير التطبيقات. استشهد دسواني بخرق في عام 2018 على Facebook ، حيث نشأت مشكلة أمنية من وظيفة تسمح لمستخدمي الشبكات الاجتماعية بمشاهدة الملفات الشخصية كأعضاء من عامة الناس. قال: “اتضح في هذا الخرق بالذات ، أن هناك ثلاث ثغرات أمنية تم ممارستها جميعًا في نفس الوقت.”

تضمنت هذه الثغرات الأمنية استخدام حقل حيث يمكن للمستخدمين أن يتمنوا عيد ميلاد سعيد للأعضاء مما يسمح بتضمين برنامج تشفير الفيديو والمشكلات المتعلقة بكيفية إصدار رموز الوصول. قال دسواني “كانت نقطة ضعف معقدة للغاية”. “أعتقد أن المهاجمين ذهبوا في هذا الاتجاه لأن Facebook قد أغلق جميع واجهات برمجة التطبيقات الخاصة بهم والتعرض السابق الذي أدى إلى اختراق Cambridge Analytica وإساءة استخدام خدمتهم.”

دورة التنمية مهيأة للاستمرار في التسارع وقد يكون الأمن مصدر قلق مستمر في المستقبل المنظور. مع خرق Capital One لعام 2019 ، قال Daswani إن موظفًا سابقًا في AWS كان قادرًا على طرح استفسارات على خدمة البيانات الوصفية في Amazon باستخدام مثيل EC2 الذي كان به ثغرة أمنية كمرحل. وقال: “أرسل المهاجم استفسارات يطلب من خدمة البيانات الوصفية بيانات اعتماد أمنية”. بعد منح الطلب ، شق المهاجم طريقه في النهاية للوصول إلى أكثر من 100 مليون طلب ائتمان باستخدام Capital One. قال دسواني: “سأندهش إذا كانت هذه هي الأمثلة الأخيرة على ثغرات البرامج المعقدة التي أدت إلى حدوث انتهاكات”.

لمزيد من المحتوى ذي الصلة ، تابع هذه القصص:

AIOps ، DevSecOps ، وما بعدها: استكشاف جوانب جديدة من DevOps

جعل المطورين أكثر وعيًا بـ DevSecOps

الأولوية الأمنية المتزايدة لـ DevOps والترحيل إلى السحابة

كيف تعمل الاستخبارات المستمرة على تعزيز إمكانية المراقبة في DevOps

أمضى جواو بيير إس روث حياته المهنية منغمسًا في الصحافة التجارية والتكنولوجية ، حيث غطى الصناعات المحلية في نيوجيرسي ، ولاحقًا كمحرر نيويورك لـ Xconomy يتعمق في مجتمع بدء التشغيل التكنولوجي في المدينة ، ثم كعامل مستقل لمنافذ مثل … عرض السيرة الذاتية الكاملة

نحن نرحب بتعليقاتكم على هذا الموضوع على قنوات التواصل الاجتماعي الخاصة بنا ، أو [contact us directly] مع أسئلة حول الموقع.

المزيد من الرؤى